Spring security 是Spring Security'；s BCrypt实现易受攻击？_Spring Security_Bcrypt_Jbcrypt

Spring security 是Spring Security'；s BCrypt实现易受攻击？

spring-security

Spring security 是Spring Security'；s BCrypt实现易受攻击？,spring-security,bcrypt,jbcrypt,Spring Security,Bcrypt,Jbcrypt,我们公司的安全审计发现，我们的bcrypt哈希的前缀是“$2a$”。根据[1]和[2]，这可能表明使用了较旧、易受攻击的bcrypt实现因此，我的问题是： Spring Security的bcrypt实现是否包含该漏洞 Spring Security是否支持“$2x$”和“$2y$”前缀参考文献： [1] [2] 您提供的链接是关于BCrypt的C实现中的漏洞的。Spring安全性实现是一个分支，它是用Java编写的另一个实现从3.2.5版开始，Spring Security不支持“$2

我们公司的安全审计发现，我们的bcrypt哈希的前缀是“$2a$”。根据[1]和[2]，这可能表明使用了较旧、易受攻击的bcrypt实现

因此，我的问题是：

Spring Security的bcrypt实现是否包含该漏洞

Spring Security是否支持“$2x$”和“$2y$”前缀

参考文献：
[1]
[2]

您提供的链接是关于BCrypt的C实现中的漏洞的。Spring安全性实现是一个分支，它是用Java编写的另一个实现

从3.2.5版开始，Spring Security不支持“$2x$”和“$2y$”前缀。该实现不包含C漏洞，但与当前基于C的实现（如PHP）不可互操作

jBCrypt有一个bug用于支持其他散列前缀：@koe我认为Google代码站点上没有任何开发，从我所看到的上一个提交2010。没错，当前没有SCM。我想这就是Spring分叉/复制它并将代码放在GitHub上的原因。