Spring Cloud 突发漏洞
大家好,我是栈长。
Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway 又突发高危漏洞,又得折腾了。。。
昨天栈长也看到了一些安全机构发布的相关漏洞通告,Spring Cloud 官方博客也发布了高危漏洞声明:
文章图片
Spring Cloud 中的 Spring Cloud Gateway 组件被爆出了两个安全漏洞。
Spring Cloud Gateway 是 Spring Cloud 的第二代网关组件,是 Spring Cloud Finchley 版推出来的新组件,用来代替第一代服务网关:Zuul。漏洞1:
Spring Cloud Gateway 的主要作用是:为微服务架构提供一种简单、有效、统一的 API 路由管理方式。
具体可以参考:Spring Cloud Gateway VS Zuul 比较,怎么选择?
CVE-2022-22947 | 远程代码执行漏洞 |
---|---|
影响组件 | Spring Cloud Gateway |
受影响版本 | - 3.1.0 - 3.0.0 ~ 3.0.6 - 其他不再维护的旧版本 |
漏洞危害等级 | 高危 |
漏洞2:
CVE-2022-22946 | HTTP2 不安全的 TrustManager |
---|---|
影响组件 | Spring Cloud Gateway |
受影响版本 | 3.1.0 |
漏洞危害等级 | 中等 |
另外,如果你想关注和学习最新、最主流的 Java 技术,栈长会持续分享,可以持续关注公众号Java技术栈,公众号第一时间推送。
解决方案 1、升级版本 Spring Cloud 2021.0.x 用户可以把主版本升级到 Spring Cloud 2021.0.1,Spring Cloud Gateway 已升级到了 3.1.1。
这个在前几天的《新年首发!Spring Cloud 2021.0.1 发布》最新版本发布时,我并没有看到修复这个高危漏洞的说明,昨天官方博客发了这个漏洞通告又含在这个版本中,这就有点摸不到头脑了。。Spring Cloud 2020.0.x 用户可以自行升级到 Spring Cloud Gateway 3.0.7。
其他不再维护的老版本也有漏洞,只是官方不再维护了,是否可自己升级,兼容性不得而知。
2、临时方案(仅限第1个漏洞) 这个临时方案仅限第 1 个漏洞,第二个漏洞只能升级 Spring Cloud 主版本。
如果不需要用到 Gateway actuator 端点,可通过以下配置禁用:
management.endpoint.gateway.enabled: false如果需要 Gateway actuator 端点,则应使用 Spring Security 对其进行防护,可参考以下网址:
https://docs.spring.io/spring...总结 Spring Cloud Gateway 这两个漏洞还挺重要的,特别是第一个远程代码执行,特别危险,自行检查,废话不多说了,如果有涉及到的,尽快修复保平安。
学 Spring Cloud 必须先掌握 Spring Boot,如果你还没用过 Spring Boot,今天我就送你一份 《Spring Boot 学习笔记》这个很全了,包括底层实现原理及代码实战,非常齐全,助你快速打通 Spring Boot 的各个环节。
Spring Boot 理论和实战源码仓库:
https://github.com/javastacks...最后,如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。
参考资料:
https://spring.io/blog/2022/0...
https://tanzu.vmware.com/secu...
版权声明: 本文系公众号 "Java技术栈" 原创,原创实属不易,转载、引用本文内容请注明出处,抄袭者一律举报+投诉,并保留追究其法律责任的权利。近期热文推荐:
1.1,000+ 道 Java面试题及答案整理(2022最新版)
2.劲爆!Java 协程要来了。。。
3.Spring Boot 2.x 教程,太全了!
4.别再写满屏的爆爆爆炸类了,试试装饰器模式,这才是优雅的方式!!
5.《Java开发手册(嵩山版)》最新发布,速速下载!
【突发!Spring Cloud 爆高危漏洞。。赶紧修复!!】觉得不错,别忘了随手点赞+转发哦!
推荐阅读
- 前端|npm i 下载依赖一直报错(git dep preparation failed等)
- 微服务|尚硅谷_谷粒学苑-微服务+全栈在线教育实战项目之旅
- 中间件|解构云原生,从概念到落地(阿里云、声网、微博、好未来、CNCF 的专家们怎么看())
- 你真的会 i++吗
- 数据结构|Lambda 表达式 - java - 细节狂魔
- 中间件|Apache Member、ALC Beijing 发起人姜宁(一个人走的很快,但是一群人能走得更远)
- netty实战|Netty进阶 -- 非阻塞网络编程 实现群聊+私聊+心跳检测系统
- leetcode|LeetCode --- 经典算法题之二分查找三回合
- netty实战|Netty入门 -- 什么是Netty()