我謹代表團隊以及所有做出貢獻的人員，很高興宣佈 Spring Authorization Server 1.2.3、1.1.6 和 1.0.6 正式釋出。

這些版本解決了 Spring Authorization Server 中CVE-2024-22258 的 PKCE 降級問題。

Tanzu Spring Runtime

使用 Spring Boot 2.7 或 3.0 的商業客戶可以利用新的 Spring Boot Hotfix 釋出機制，提供 2.7.20.2 和 3.0.15.2 版本。Spring Boot Hotfix 釋出是及時的釋出，用於在釋出 CVE 修復時修補依賴管理，以使用最新的 Spring 偽像。今天釋出的 hotfix 版本可在 Spring 商業偽像儲存庫中獲得，並且可以透過 Spring Enterprise Subscription 訪問。

Spring Boot 3.1 和 3.2 的商業客戶和 OSS 使用者現在應該手動升級到 Spring Authorization Server 1.1.6 和 1.2.3，並在本週晚些時候當這些版本可用時升級到 Spring Boot 3.1.10 和 3.2.4。

請繼續關注關於 hotfix 釋出以及我們在該領域的計劃的更多詳細資訊。

專案頁面 | GitHub 問題 | 專案看板