Spring Security 建議

CVE-2020-5403：Reactor Netty HTTP 伺服器透過畸形 URL 導致拒絕服務

中等 | 2020 年 2 月 27 日 | CVE-2020-5403

描述

Reactor Netty HttpServer 的 0.9.3 和 0.9.4 版本存在 URISyntaxException 漏洞，該漏洞會導致連線過早關閉，而不是返回 400 響應。

受影響的 Spring 產品和版本

Reactor Netty
- 0.9.3
- 0.9.4

緩解措施

受影響版本的使用者應升級到 0.9.5 (reactor-bom Dysprosium SR-5)。無需採取其他措施。

Reactor Netty
- 0.9.5

致謝

此問題由 Wojciech Kuranowski 發現並負責任地報告。

參考資料

https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

歷史

2020-02-27：首次釋出漏洞報告。

報告漏洞

要報告 Spring 組合專案中存在的安全漏洞，請參閱安全策略

© . This site is unofficial and not affiliated with VMware.