大家好,我是DD
3月1日,Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告。
其中包含一个高风险漏洞和一个中风险漏洞,建议有使用Spring Cloud Gateway的用户及时升级版本到3.1.1+、3.0.7+或采用其他缓解方法加强安全防护。
有涉及的小伙伴可以看看下面具体这两个漏洞的内容和缓解方法。
CVE-2022-22947:代码注入漏洞
严重性:Critical
漏洞描述:使用Spring Cloud Gateway的应用程序在Actuator端点在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可以恶意创建允许在远程主机上执行任意远程执行的请求。
【Spring Cloud Gateway现高风险漏洞,建议采取措施加强防护】影响范围:
Spring Cloud Gateway以下版本均受影响:
- 3.1.0
- 3.0.0至3.0.6
- 其他老版本
受影响版本的用户可以通过以下措施补救。
- 3.1.x用户应升级到3.1.1+
- 3.0.x用户应升级到3.0.7+
- 如果不需要Actuator端点,可以通过
management.endpoint.gateway.enable:false
配置将其禁用 - 如果需要Actuator端点,则应使用Spring Security对其进行保护
漏洞描述:当启用HTTP2,并且没有设置密钥存储或可信证书的应用程序将配置为使用不安全的TrustManager。这使得网关能够使用无效或自定义证书连接到远程服务。
影响范围:
Spring Cloud Gateway以下版本受影响:
- 3.1.0
- 3.1.x用户升级到3.1.1+
欢迎关注我的公众号:程序猿DD。第一时间了解前沿行业消息、分享深度技术干货、获取优质学习资源
推荐阅读
- VS Code 2022路线图(大量Spring Boot优化提上日程!难道是被JB Code吓到了())
- Spring Boot 3.0.0 发布第一个里程碑版本M1,你的 Java 升到17 了吗()
- 稀疏数组与数组的关系与转化
- Synchronized的底层实现原理(看这篇就够了)
- main函数你到底知道多少
- 比postman更好用的API调试工具?apifox,永远滴神
- Dubbo拓展点加载机制
- Spring boot 2.0的Redis缓存应用
- 保姆级教程,终于搞懂脏读、幻读和不可重复读了!