प्लेटफ़ॉर्म
java
घटक
spring-security
में ठीक किया गया
4.2.12.RELEASE
5.0.12.RELEASE
5.1.5.RELEASE
CVE-2019-3795 Spring Security में एक असुरक्षित यादृच्छिकता भेद्यता है। यह भेद्यता तब उत्पन्न होती है जब SecureRandomFactoryBean#setSeed का उपयोग करके SecureRandom उदाहरण को कॉन्फ़िगर किया जाता है। इससे हमलावर यादृच्छिक सामग्री का निरीक्षण कर सकते हैं। प्रभावित संस्करण 4.2.x (4.2.12 से पहले), 5.0.x (5.0.12 से पहले), और 5.1.x (5.1.5 से पहले) हैं। इस समस्या को 5.1.4.RELEASE पर अपडेट करके ठीक किया जा सकता है।
यह भेद्यता हमलावरों को एप्लिकेशन द्वारा उत्पन्न यादृच्छिक सामग्री का निरीक्षण करने की अनुमति देती है। यदि एप्लिकेशन इस यादृच्छिक सामग्री का उपयोग संवेदनशील कार्यों के लिए करता है, जैसे कि सत्र आईडी या क्रिप्टोग्राफ़िक कुंजियाँ उत्पन्न करना, तो हमलावर एप्लिकेशन की सुरक्षा को तोड़ सकते हैं। हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, उपयोगकर्ता खातों को हाईजैक कर सकते हैं, या एप्लिकेशन को दुर्भावनापूर्ण कोड निष्पादित करने के लिए मजबूर कर सकते हैं। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो सुरक्षित यादृच्छिकता पर निर्भर करते हैं, जैसे कि वित्तीय लेनदेन या व्यक्तिगत डेटा को संभालने वाले एप्लिकेशन।
CVE-2019-3795 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है। यह KEV में सूचीबद्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो भेद्यता की गंभीरता को उजागर करते हैं। 2019-04-09 को CVE प्रकाशित किया गया था।
Applications heavily reliant on Spring Security for authentication and authorization, particularly those that generate cryptographic keys or session IDs using SecureRandomFactoryBean and expose the resulting random data, are at increased risk. Systems using older, unpatched versions of Spring Security (≤5.1.4.RELEASE) are directly vulnerable.
• java / server:
# Check Spring Security version
java -jar your_application.jar | grep 'Spring Security' • java / supply-chain:
# Check for vulnerable dependencies in Maven project
mvn dependency:tree | grep 'spring-security' • generic web:
# Check for potential seed exposure in application logs
grep -i 'seed=' /var/log/your_application/*.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.55% (68% शतमक)
CVSS वेक्टर
CVE-2019-3795 को कम करने के लिए, Spring Security को 5.1.4.RELEASE या बाद के संस्करण में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो SecureRandomFactoryBean#setSeed का उपयोग करने से बचें। यदि यह संभव नहीं है, तो एप्लिकेशन में यादृच्छिक सामग्री के उपयोग को सीमित करें और यह सुनिश्चित करें कि हमलावर के लिए इसे निरीक्षण करना मुश्किल है। WAF नियमों को लागू किया जा सकता है जो असामान्य यादृच्छिक संख्या पैटर्न का पता लगाते हैं। अपडेट के बाद, यह सत्यापित करें कि यादृच्छिक संख्या पीढ़ी सुरक्षित है और अनुमानित नहीं है।
कृपया अपने प्रोजेक्ट के अनुसार Spring Security के संस्करण को 4.2.12.RELEASE, 5.0.12.RELEASE या 5.1.5.RELEASE, या उच्चतर संस्करण में अपडेट करें। यह SecureRandom का उपयोग करते समय असुरक्षित यादृच्छिकता भेद्यता (insecure randomness vulnerability) को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2019-3795 Spring Security में एक भेद्यता है जो हमलावरों को यादृच्छिक सामग्री का निरीक्षण करने की अनुमति देती है, जिससे संवेदनशील डेटा उजागर हो सकता है।
यदि आप Spring Security संस्करण 4.2.x (4.2.12 से पहले), 5.0.x (5.0.12 से पहले), या 5.1.x (5.1.5 से पहले) का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Spring Security को 5.1.4.RELEASE या बाद के संस्करण में अपडेट करें।
CVE-2019-3795 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन सार्वजनिक PoC मौजूद हैं।
आप Spring Security सलाहकार यहां पा सकते हैं: [https://t.co/g9R0t39J9y](https://t.co/g9R0t39J9y)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।