描述

Reactor Netty HttpClient 的 0.9.x 版本（低於 0.9.5）和 0.8.x 版本（低於 0.8.16）可能使用不當，導致在重定向到不同域時洩露憑據。 要發生這種情況，必須已顯式配置 HttpClient 以跟蹤重定向。

受影響的 Spring 產品和版本

• Reactor Netty
  • 0.9 到 0.9.4
  • 0.8 到 0.8.15

緩解措施

受影響版本的使用者應應用以下緩解措施：0.9.x 使用者應升級到 0.9.5 (reactor-bom Dysprosium SR-5)，0.8.x 使用者應升級到 0.8.16 (reactor-bom Californium SR-16)。注意：Reactor Netty 0.9.5 和 0.8.16 依賴於 Netty 4.1.45+。 Spring Boot 應用程式應升級到 2.2.5 或 2.1.13 才能使用上述版本。無需其他步驟。在某些情況下，升級後，應用程式在重定向到其他域後可能會遇到身份驗證失敗。 如果發生這種情況，應用程式可能需要使用重定向請求處理程式顯式配置 Reactor Netty HttpClient。已修復此問題的版本包括

• Reactor Netty
  • 0.8.16
  • 0.9.5

鳴謝

此問題由 Volkswagen Group IT Services GmbH 的 Ludwig Bedacht 和 Daniel Spruth 負責識別並報告。

參考資料

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:L/A:N

歷史

• 2020-02-27：釋出初始漏洞報告。