大家好,我是DD
3月1日,Spring官方博客發布了一篇關於Spring Cloud Gateway的CVE報告。
其中包含一個高風險漏洞和一個中風險漏洞,建議有使用Spring Cloud Gateway的用戶及時升級版本到3.1.1+、3.0.7+或采用其他緩解方法加強安全防護。
有涉及的小伙伴可以看看下面具體這兩個漏洞的內容和緩解方法。
CVE-2022-22947:代碼注入漏洞
嚴重性:Critical
漏洞描述:使用Spring Cloud Gateway的應用程序在Actuator端點在啟用、公開和不安全的情況下容易受到代碼注入的攻擊。攻擊者可以惡意創建允許在遠程主機上執行任意遠程執行的請求。
影響范圍:
Spring Cloud Gateway以下版本均受影響:
- 3.1.0
- 3.0.0至3.0.6
- 其他老版本
緩解方法:
受影響版本的用戶可以通過以下措施補救。
- 3.1.x用戶應升級到3.1.1+
- 3.0.x用戶應升級到3.0.7+
- 如果不需要Actuator端點,可以通過
management.endpoint.gateway.enable:false配置將其禁用 - 如果需要Actuator端點,則應使用Spring Security對其進行保護
CVE-2022-22946:HTTP2 Insecure TrustManager
嚴重性:Medium
漏洞描述:當啟用HTTP2,並且沒有設置密鑰存儲或可信證書的應用程序將配置為使用不安全的TrustManager。這使得網關能夠使用無效或自定義證書連接到遠程服務。
影響范圍:
Spring Cloud Gateway以下版本受影響:
- 3.1.0
緩解方法:
- 3.1.x用戶升級到3.1.1+
本文首發:Spring Cloud Gateway現高風險漏洞,建議采取措施加強防護,歡迎關注我的博客,分享最前沿的技術資訊。
歡迎關注我的公眾號:程序猿DD。第一時間了解前沿行業消息、分享深度技術干貨、獲取優質學習資源