大家好,我是DD
3月1日,Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告。
其中包含一个高风险漏洞和一个中风险漏洞,建议有使用Spring Cloud Gateway的用户及时升级版本到3.1.1 、3.0.7 或采用其他缓解方法加强安全防护。
有涉及的小伙伴可以看看下面具体这两个漏洞的内容和缓解方法。
CVE-2022-22947:代码注入漏洞
严重性:Critical
漏洞描述:使用Spring Cloud Gateway的应用程序在Actuator端点在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可以恶意创建允许在远程主机上执行任意远程执行的请求。
影响范围:
Spring Cloud Gateway以下版本均受影响:
- 3.1.0
- 3.0.0至3.0.6
- 其他老版本
缓解方法:
受影响版本的用户可以通过以下措施补救。
- 3.1.x用户应升级到3.1.1
- 3.0.x用户应升级到3.0.7
- 如果不需要Actuator端点,可以通过
management.endpoint.gateway.enable:false
配置将其禁用 - 如果需要Actuator端点,则应使用Spring Security对其进行保护
CVE-2022-22946:HTTP2 Insecure TrustManager
严重性:Medium
漏洞描述:当启用HTTP2,并且没有设置密钥存储或可信证书的应用程序将配置为使用不安全的TrustManager。这使得网关能够使用无效或自定义证书连接到远程服务。
影响范围:
Spring Cloud Gateway以下版本受影响:
- 3.1.0
缓解方法:
- 3.1.x用户升级到3.1.1
我们创建了一个高质量的技术交流群,与优秀的人在一起,自己也会优秀起来,赶紧点击加群,享受一起成长的快乐。另外,如果你最近想跳槽的话,年前我花了2周时间收集了一波大厂面经,节后准备跳槽的可以点击这里领取!
版权申明:本文系公众号「程序猿DD」原创。可规范转载:完全复制全文不做删减、文首标明来源公众号与作者、文末放置来源公众号的卡片或二维码、并于本文发布24小时之后发布;非规范转载、抄袭、洗稿一律投诉侵权。
推荐阅读
- 从阿里辞职到国企的一路辛酸和经验
- Spring Boot MDC 实现全链路调用日志跟踪
- 使用 Jenkins 部署码云上的 Spring Boot 项目
··································
你好,我是程序猿DD,10年开发老司机、阿里云MVP、腾讯云TVP、出过书、创过业、国企4年互联网6年。10年前毕业加入宇宙行,工资不高、也不算太忙,业余坚持研究技术和做自己想做的东西。4年后离开国企,加入永辉互联网板块的创业团队,从开发、到架构、到合伙人。一路过来,给我最深的感受就是一定要不断学习并关注前沿。只要你能坚持下来,多思考、少抱怨、勤动手,就很容易实现弯道超车!所以,不要问我现在干什么是否来得及。如果你看好一个事情,一定是坚持了才能看到希望,而不是看到希望才去坚持。相信我,只要坚持下来,你一定比现在更好!如果你还没什么方向,可以先关注我,这里会经常分享一些前沿资讯,帮你积累弯道超车的资本。
点击阅读原文,送你免费Spring Boot教程