我很高興代表團隊和所有貢獻者宣佈 Spring Authorization Server 1.2.3、1.1.6 和 1.0.6 正式釋出。

這些版本解決了 Spring Authorization Server 中 PKCE 降級的 CVE-2024-22258 問題。

Tanzu Spring 執行時

使用 Spring Boot 2.7 或 3.0 的商業客戶可以使用新的 Spring Boot 熱修復版本機制，提供 2.7.20.2 和 3.0.15.2 版本。Spring Boot 熱修復版本是及時釋出的版本，它修補依賴管理以在使用 CVE 修復釋出時使用最新的 Spring 元件。今天釋出的熱修復版本可在 Spring 商業構件儲存庫上獲得，並且可以透過 Spring 企業訂閱訪問。

Spring Boot 3.1 和 3.2 的商業客戶和 OSS 使用者應立即手動升級到 Spring Authorization Server 1.1.6 和 1.2.3，並在本週晚些時候升級到 Spring Boot 3.1.10 和 3.2.4。

請繼續關注有關熱修復版本和我們在此領域的計劃的更多詳細資訊。

專案頁面 | GitHub 問題 | 專案看板