Spring 本週動態 - 2022 年 4 月 5 日
各位 Spring 愛好者,大家好!歡迎閱讀新一期的《Spring 本週動態》!我從夏威夷群島回來了。回家真好。
首先,有一項安全漏洞。我們已經發布了緩解措施指南,以及包含預設緩解措施的 Spring Framework 和 Spring Boot 新版本。更多資訊請參閱下方連結。
現在,回到按計劃釋出的《Spring 本週動態》
Spring Framework RCE,替代緩解措施
昨天,我們宣佈了 Spring Framework RCE 漏洞 CVE-2022-22965,其中列出了 Apache Tomcat 作為幾個前置條件之一。Apache Tomcat 團隊隨後釋出了版本 10.0.20、9.0.62 和 8.5.78,這些版本都關閉了 Tomcat 方面的攻擊向量。雖然該漏洞不在 Tomcat 本身,但在實際情況中,能夠從多個升級路徑中進行選擇非常重要,這反過來提供了靈活性和分層保護。
升級到 Spring Framework 5.3.18+ 或 5.2.20+ 仍然是我們的主要建議,這不僅因為它解決了根本原因…
Spring Tips:勇敢、大膽且“無聊”的 YugabyteDB
各位 Spring 愛好者,大家好!在本期內容中,我們大膽地嘗試了“無聊”的 YugabyteDB,它是一個只需執行即可的分散式資料庫。它感覺像 PostgreSQL,但可以像 Apache Cassandra 一樣擴充套件。
Spring Framework RCE,早期公告
更新
- [04-13] 釋出了名為 "資料繫結規則漏洞 CVE-2022-22968" 的後續部落格文章,與 建議的臨時解決方案 中的 "disallowedFields" 相關
- [04-08] Snyk 宣佈 Glassfish 和 Payara 存在額外的攻擊向量。另請參閱相關的 Payara 即將釋出的公告
- [04-04] 更新了 我是否受到影響 部分,改進了部署要求的描述
- [04-01] 更新了 我是否受到影響 部分,添加了額外說明
- [04-01] 更新了 Apache Tomcat 升級和 Java 8 降級的 建議的臨時解決方案 部分
- [04-01] 釋出了名為 "替代緩解措施" 的後續部落格文章,宣佈 Apache Tomcat 釋出了版本 10.0.20、9.0.62 和 8.5.78…
一期 Bootiful 播客:Kubernetes 聯合創始人、VMware 研發副總裁 Craig McLuckie
各位 Spring 愛好者,大家好!歡迎收聽新一期的 Bootiful 播客!在本期節目中,Josh Long (@starbuxman) 與 Kubernetes 聯合創始人、全方位優秀人士、VMware 研發副總裁 Craig McLuckie (@cmcluck) 進行了交流。
Spring Cloud Azure 4.0 現已正式釋出
Spring 本週動態 - 2022 年 3 月 29 日
Aloha,各位 Spring 愛好者,來自美麗的夏威夷毛伊島,我和家人正在這裡度假。這是我們女兒的春假,所以我們正在儘可能地享受家庭時光!我想在永遠不夠的海灘時間和所有朗姆酒之間抽出短暫的空隙,為大家帶來本週的內容,所以讓我們
Spring Cloud Function 的 CVE 報告已釋出
Spring Framework 的 CVE 報告已釋出
我們釋出了 Spring Framework 5.3.17 和 Spring Framework 5.2.20 版本,以解決以下 CVE 報告。
請查閱 CVE 報告中的資訊並立即升級。
Java 17+ 採用情況更新
作為去年 SpringOne 上 我的部落格文章 的後續,是時候更新一下我們的 Java 17+ 基線工作了!
我們已在主分支上建立了新的基線,並已釋出了一些里程碑版本。反饋非常積極,不僅體現在框架改進方面,還體現在應用層級 Java 升級的動力方面。當然,這不會止步於 JDK 17 LTS:JDK 18 已經是一個即時選項,JDK 19 將在今年晚些時候我們最終釋出時成為當前版本,屆時 JDK 20 將處於早期訪問階段——JDK 21 LTS 也即將到來…
