【安全公告】Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979)风险通告

2022-06-30 14:03:01 浏览数 (1)

漏洞描述:

Spring Cloud Function拒绝服务漏洞(CVE-2022-22979)技术细节已在互联网上公开,攻击者可以向Spring Cloud Function发送大量特制的HTTP请求消耗服务器资源,从而导致拒绝服务。

Spring框架是 Java 平台的一个开源的全栈(full-stack)应用程序框架和控制反转容器实现,一般被直接称为 Spring,在 Java 社区中广为流行。

VMware官方已发布此漏洞的修复补丁,腾讯安全专家建议用户尽快升级至Spring Cloud Function 3.2.6及以上版本。

漏洞编号:

CVE-2022-22979

漏洞等级:

高危,CVSS评分7.5

漏洞状态:

漏洞细节

POC

EXP

在野利用

已公开

已公开

未知

未知

受影响的版本:

Spring Cloud Function < 3.2.6

不受支持的旧版本也会受到影响。

安全版本:

Spring Cloud Function >= 3.2.6

漏洞修复与缓解方案:

VMware官方已发布此漏洞的修复补丁,腾讯安全专家建议用户尽快升级至Spring Cloud Function 3.2.6及以上版本。

下载链接:

https://github.com/spring-cloud/spring-cloud-function/releases/tag/v3.2.6

腾讯安全解决方案:

  • 腾讯T-Sec容器安全产品已支持检测企业容器镜像是否存在Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979);
  • 腾讯T-Sec主机安全(云镜)已支持检测企业资产是否存在Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979);
  • 腾讯T-Sec高级威胁检测系统(御界)已支持检测利用Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979)的攻击活动;
  • 腾讯T-Sec云防火墙已支持检测防御利用Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979)的攻击;
  • 腾讯T-Sec Web应用防火墙(WAF)已支持检测防御利用Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979)的攻击。

参考链接:

https://tanzu.vmware.com/security/cve-2022-22979

https://checkmarx.com/blog/spring-function-cloud-dos-cve-2022-22979-and-unintended-function-invocation/

https://github.com/spring-cloud/spring-cloud-function/releases/tag/v3.2.6

时间线:

2022年6月29日,腾讯安全发布安全风险通告,腾讯安全全系列产品已支持检测、防御Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979)。

安全 spring springcloud https 容器

0 人点赞