Spring Security 建議

RSS 源

CVE-2022-22971: Spring Framework 透過 WebSocket 上的 STOMP 導致 DoS

中等 | 2022年5月11日 | CVE-2022-22971

描述

具有 WebSocket 上的 STOMP 端點的 Spring 應用程式容易受到已認證使用者的拒絕服務攻擊。

受影響的 Spring 產品和版本

  • Spring Framework
    • 5.3.0至5.3.19
    • 5.2.0至5.2.21
    • 較舊的、不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採用以下緩解措施:5.3.x使用者應升級到5.3.20;5.2.x使用者應升級到5.2.22。無需其他步驟。已修復此問題的版本包括:

  • Spring Framework
    • 5.3.20
    • 5.2.22

致謝

此漏洞由 HMS Industrial Networks, Business Unit Ewon, R&D Department - Software 的 David Delbecq 和 Rémy Vermeiren 負責任地報告給 VMware。

參考資料

歷史

  • 2022-05-11: 初步漏洞報告發布。

報告漏洞

要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略

領先一步

VMware 提供培訓和認證,助您加速進步。

瞭解更多

獲得支援

Tanzu Spring 提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位制檔案,只需一份簡單的訂閱。

瞭解更多

即將舉行的活動

檢視 Spring 社群所有即將舉行的活動。

檢視所有