突发!Spring Cloud 爆高危漏洞。。赶紧修复!
阅读本文大概需要 2.8 分钟。
来自:网络
Spring Cloud 突发漏洞
问题描述
漏洞1:Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)
漏洞描述
影响范围
除了 Spring Cloud Gateway 外,程序还用到了 Spring Boot Actuator 组件(它用于对外提供 /actuator/ 接口);
Spring 配置对外暴露 gateway 接口,如 application.properties 配置为:
# 默认为true
management.endpoint.gateway.enabled=true
# 以逗号分隔的一系列值,默认为 health
# 若包含 gateway 即表示对外提供 Spring Cloud Gateway 接口
management.endpoints.web.exposure.include=gateway
Spring Cloud Gateway 3.1.x < 3.1.1 Spring Cloud Gateway 3.0.x < 3.0.7 其他旧的、不受支持的 Spring Cloud Gateway 版本
解决方案
Spring Cloud Gateway 3.1.1
Spring Cloud Gateway 3.0.7
management.endpoint.gateway.enabled 为 false。
漏洞2:CVE-2022-22946:Spring Cloud Gateway HTTP2 不安全的 TrustManager
漏洞描述
影响范围
解决方案
参考资料
https://tanzu.vmware.com/security/cve-2022-22946 https://tanzu.vmware.com/security/cve-2022-22947
推荐阅读:
内容包含Java基础、JavaWeb、MySQL性能优化、JVM、锁、百万并发、消息队列、高性能缓存、反射、Spring全家桶原理、微服务、Zookeeper、数据结构、限流熔断降级......等技术栈!
⬇戳阅读原文领取! 朕已阅
评论