領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2021-22119: 透過在 Spring Security OAuth 2.0 客戶端 Web 和 WebFlux 應用中發起授權請求導致拒絕服務 (DoS) 攻擊
描述
Spring Security 5.5.x 版本低於 5.5.1,5.4.x 版本低於 5.4.7,5.3.x 版本低於 5.3.10 以及 5.2.x 版本低於 5.2.11 容易受到拒絕服務 (DoS) 攻擊,攻擊透過在 OAuth 2.0 客戶端 Web 和 WebFlux 應用中發起授權請求來實現。惡意使用者或攻擊者可以傳送多個請求來啟動授權碼授權的授權請求,這可能會透過單個會話或多個會話耗盡系統資源。此漏洞會暴露使用 HttpSessionOAuth2AuthorizationRequestRepository (Servlet) 和 WebSessionOAuth2ServerAuthorizationRequestRepository (Reactive) 的 OAuth 2.0 客戶端應用程式。
受影響的 Spring 產品和版本
- Spring Security
- 5.5.x 版本低於 5.5.1
- 5.4.x 版本低於 5.4.7
- 5.3.x 版本低於 5.3.10
- 5.2.x 版本低於 5.2.11
緩解措施
受影響版本的使用者應升級到以下版本
- Spring Security
- 5.5.1
- 5.4.7
- 5.3.10
- 5.2.11
鳴謝
此問題由 Craig Andrews (github.com/candrews) 發現並負責任地報告。
參考
歷史
- 2021-06-28:釋出了初始漏洞報告。
報告漏洞
要報告 Spring 產品組合中某個專案的安全漏洞,請參閱安全策略