大家好,我是DD
3月1日,Spring官方部落格釋出了一篇關於Spring Cloud Gateway的CVE報告。
其中包含一個高風險漏洞和一箇中風險漏洞,建議有使用Spring Cloud Gateway的使用者及時升級版本到3.1.1+、3.0.7+或採用其他緩解方法加強安全防護。
有涉及的小夥伴可以看看下面具體這兩個漏洞的內容和緩解方法。
CVE-2022-22947:程式碼注入漏洞
嚴重性:Critical
漏洞描述:使用Spring Cloud Gateway的應用程式在Actuator端點在啟用、公開和不安全的情況下容易受到程式碼注入的攻擊。攻擊者可以惡意建立允許在遠端主機上執行任意遠端執行的請求。
影響範圍:
Spring Cloud Gateway以下版本均受影響:
- 3.1.0
- 3.0.0至3.0.6
- 其他老版本
緩解方法:
受影響版本的使用者可以通過以下措施補救。
- 3.1.x使用者應升級到3.1.1+
- 3.0.x使用者應升級到3.0.7+
- 如果不需要Actuator端點,可以通過
management.endpoint.gateway.enable:false配置將其禁用 - 如果需要Actuator端點,則應使用Spring Security對其進行保護
CVE-2022-22946:HTTP2 Insecure TrustManager
嚴重性:Medium
漏洞描述:當啟用HTTP2,並且沒有設定金鑰儲存或可信證書的應用程式將配置為使用不安全的TrustManager。這使得閘道器能夠使用無效或自定義證書連線到遠端服務。
影響範圍:
Spring Cloud Gateway以下版本受影響:
- 3.1.0
緩解方法:
- 3.1.x使用者升級到3.1.1+
本文首發:Spring Cloud Gateway現高風險漏洞,建議採取措施加強防護,歡迎關注我的部落格,分享最前沿的技術資訊。
歡迎關注我的公眾號:程式猿DD。第一時間瞭解前沿行業訊息、分享深度技術乾貨、獲取優質學習資源