共计 807 个字符,预计需要花费 3 分钟才能阅读完成。
大家好,我是 DD
3 月 1 日,Spring 官网博客公布了一篇对于 Spring Cloud Gateway 的 CVE 报告。
其中蕴含一个高风险破绽和一个中危险破绽,倡议有应用 Spring Cloud Gateway 的用户及时降级版本到 3.1.1+、3.0.7+ 或采纳其余缓解办法增强平安防护。
有波及的小伙伴能够看看上面具体这两个破绽的内容和缓解办法。
CVE-2022-22947:代码注入破绽
严重性:Critical
破绽形容:应用 Spring Cloud Gateway 的应用程序在 Actuator 端点在启用、公开和不平安的状况下容易受到代码注入的攻打。攻击者能够歹意创立容许在近程主机上执行任意近程执行的申请。
影响范畴:
Spring Cloud Gateway 以下版本均受影响:
- 3.1.0
- 3.0.0 至 3.0.6
- 其余老版本
缓解办法:
受影响版本的用户能够通过以下措施补救。
- 3.1.x 用户应降级到 3.1.1+
- 3.0.x 用户应降级到 3.0.7+
- 如果不须要 Actuator 端点,能够通过
management.endpoint.gateway.enable:false配置将其禁用 - 如果须要 Actuator 端点,则应应用 Spring Security 对其进行爱护
CVE-2022-22946:HTTP2 Insecure TrustManager
严重性:Medium
破绽形容:当启用 HTTP2,并且没有设置密钥存储或可信证书的应用程序将配置为应用不平安的 TrustManager。这使得网关可能应用有效或自定义证书连贯到近程服务。
影响范畴:
Spring Cloud Gateway 以下版本受影响:
- 3.1.0
缓解办法:
- 3.1.x 用户降级到 3.1.1+
本文首发:Spring Cloud Gateway 现高风险破绽,倡议采取措施增强防护,欢送关注我的博客,分享最前沿的技术资讯。
欢送关注我的公众号:程序猿 DD。第一工夫理解前沿行业音讯、分享深度技术干货、获取优质学习资源
正文完
