描述

Spring Cloud Config 的 2.1.x 系列（2.1.2 之前）、2.0.x 系列（2.0.4 之前）、1.4.x 系列（1.4.6 之前）以及更早的不再支援的版本，允許應用程式透過 spring-cloud-config-server 模組提供任意配置檔案。惡意使用者或攻擊者可以透過傳送一個特製的 URL 來觸發目錄遍歷攻擊。

受影響的 Spring 產品和版本

• Spring Cloud Config 2.1.0 到 2.1.1
• Spring Cloud Config 2.0.0 到 2.0.3
• Spring Cloud Config 1.4.0 到 1.4.5
• 更舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 2.1.x 使用者應升級到 2.1.2
• 2.0.x 使用者應升級到 2.0.4
• 1.4.x 使用者應升級到 1.4.6
• 舊版本應升級到受支援的分支
• 請注意，spring-cloud-config-server 應僅對需要它的客戶端開放內部網路訪問，並且應該使用 Spring Security 進行保護。這可以限制此漏洞的暴露範圍，僅限於那些有內部網路訪問許可權和經過適當身份驗證的使用者。

致謝

此問題由 Vern ([email protected],來自 PingAn Galaxy Lab) 發現並負責任地報告。

參考資料

• https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security'>保護 Spring Cloud Config Server 文件。

歷史

2019-04-16: 釋出初始漏洞報告。