Spring Security 竞争条件漏洞

漏洞信息详情

Spring Security 竞争条件漏洞

• CNNVD编号：CNNVD-201109-136
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-2731
  
• 漏洞类型：
  
  
  竞争条件
  
• 发布时间：
  
  2011-09-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-12-07
  
• 厂        商：
  
  vmware
• 漏洞来源：

Pivotal Software Spring Security是美国Pivotal Software公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。

VMware SpringSource Spring Security 2.0.7之前的版本和3.0.6之前的3.0.x版本中的RunAsManager中存在竞争条件漏洞，该漏洞源于程序将Authentication对象存储于共享的安全上下文中。通过特制的线程，远程攻击者利用该漏洞获得特权。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://support.springsource.com/security/cve-2011-2731

来源: support.springsource.com

链接:http://support.springsource.com/security/cve-2011-2731

来源: bugs.debian.org

链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=677814

来源:SECUNIA

名称:45958

链接:http://secunia.com/advisories/45958