搶先一步
VMware 提供培訓和認證,以加速您的進度。
瞭解更多CVE-2022-22946:Spring Cloud Gateway HTTP2 不安全 TrustManager
描述
使用 Spring Cloud Gateway 的應用程式,如果配置為啟用 HTTP2 且未設定金鑰庫或受信任證書,則將被配置為使用不安全的 TrustManager。 這使得閘道器能夠連線到具有無效或自定義證書的遠端服務。
受影響的 Spring 產品和版本
- Spring Cloud Gateway
- 3.1.0
緩解措施
受影響版本的使用者應應用以下緩解措施。 3.1.x 使用者應升級到 3.1.1+。 無需其他步驟。 修復此問題的版本包括
- Spring Cloud Gateway
- 3.1.1+
鳴謝
此漏洞由 BNP Paribas 的 Benjamin Bargeton 發現並負責任地報告。
參考
歷史
- 2022-03-01:釋出初始漏洞報告。
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略