突发!Spring Cloud 爆高危漏洞。。赶紧修复!!

共 2261字,需浏览 5分钟

 ·

2022-03-17 08:24

Spring Cloud 突发漏洞

Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway 又突发高危漏洞,又得折腾了。。。

2022年3月1日,Spring官方发布了关于Spring Cloud Gateway的两个CVE漏洞,分别为CVE-2022-22946与CVE-2022-22947:


版本/分支/tag: 3.4.X
问题描述


Spring Cloud Gateway 是 Spring Cloud 下的一个项目,该项目是基于 Spring 5.0、Spring Boot 2.0 和 Project Reactor 等技术开发的网关,它旨在为微服务架构提供一种简单有效、统一的 API 路由管理方式。


漏洞1Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)

3 月 1 日,VMware 官方发布安全公告,声明对 Spring Cloud Gateway 中的一处命令注入漏洞进行了修复,漏洞编号为 CVE-2022-22947:
https://tanzu.vmware.com/security/cve-2022-22947


漏洞描述


使用 Spring Cloud Gateway 的应用如果对外暴露了 Gateway Actuator 端点时,则可能存在被 CVE-2022-22947 漏洞利用的风险。攻击者可通过利用此漏洞执行 SpEL 表达式,允许在远程主机上进行任意远程执行。,获取系统权限。


影响范围


漏洞利用的前置条件:

  1. 除了 Spring Cloud Gateway 外,程序还用到了 Spring Boot Actuator 组件(它用于对外提供 /actuator/ 接口);

  2. 微信搜索公众号:Java项目精选,回复:java 领取资料 。

  3. Spring 配置对外暴露 gateway 接口,如 application.properties 配置为:

# 默认为truemanagement.endpoint.gateway.enabled=true
# 以逗号分隔的一系列值,默认为 health# 若包含 gateway 即表示对外提供 Spring Cloud Gateway 接口management.endpoints.web.exposure.include=gateway

漏洞影响的 Spring Cloud Gateway 版本范围:
  • Spring Cloud Gateway 3.1.x < 3.1.1
  • Spring Cloud Gateway 3.0.x < 3.0.7
  • 其他旧的、不受支持的 Spring Cloud Gateway 版本


解决方案


更新升级 Spring Cloud Gateway 到以下安全版本:

  • Spring Cloud Gateway 3.1.1

  • Spring Cloud Gateway 3.0.7


或者在不考虑影响业务的情况下禁用 Gateway actuator 接口:

在application.properties 中设置 :

management.endpoint.gateway.enabledfalse


漏洞2CVE-2022-22946:Spring Cloud Gateway HTTP2 不安全的 TrustManager


漏洞描述


使用配置为启用 HTTP2 且未设置密钥存储或受信任证书的 Spring Cloud Gateway 的应用程序将被配置为使用不安全的 TrustManager。这使得网关能够使用无效或自定义证书连接到远程服务。

影响范围

Spring Cloud Gateway = 3.1.0

解决方案

方已经发布安全版本,请升级到3.1.1+


参考资料

方已经发布安全版本,请升级到3.1.1+

  • https://tanzu.vmware.com/security/cve-2022-22946
  • https://tanzu.vmware.com/security/cve-2022-22947


如果本文对你有帮助的话,请不要吝啬你的赞,谢谢!



(完)

PS:如果觉得我的分享不错,欢迎大家随手点赞、在看。

 关注公众号:Java后端编程,回复下面关键字 


要Java学习完整路线,回复  路线 

缺Java入门视频,回复 视频 

要Java面试经验,回复  面试 

缺Java项目,回复: 项目 

进Java粉丝群: 加群 


PS:如果觉得我的分享不错,欢迎大家随手点赞、在看。

(完)




加我"微信获取一份 最新Java面试题资料

请备注:666不然不通过~


最近好文


1、再见了,收费的XShell,我改用国产良心工具!

2、给IDEA换个酷炫的主题,真的太好看了!

3、SpringBoot快速开发利器:Spring Boot CLI

4、基于SpringBoot 的CMS系统,拿去开发企业官网

5、本机号码一键登录原理与应用



最近面试BAT,整理一份面试资料Java面试BAT通关手册,覆盖了Java核心技术、JVM、Java并发、SSM、微服务、数据库、数据结构等等。
获取方式:关注公众号并回复 java 领取,更多内容陆续奉上。
明天见(。・ω・。)ノ♡
浏览 49
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报