搶先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2022-31684: Reactor Netty HTTP 伺服器可能會記錄請求頭
描述
Reactor Netty HTTP 伺服器,版本 1.0.11 - 1.0.23,在某些無效 HTTP 請求的情況下可能會記錄請求頭。記錄的頭可能會向可以訪問伺服器日誌的人員洩露有效的訪問令牌。這可能只會影響啟用了 WARN 級別日誌記錄的無效 HTTP 請求。
受影響的 Spring 產品和版本
- Reactor Netty
- 1.0.11 到 1.0.23
緩解措施
受影響版本的使用者應採取以下緩解措施。不使用預設日誌級別(ERROR)的 1.0.x 使用者應升級到 1.0.24 (reactor-bom 2020.0.24)。無需其他步驟。已修復此問題的版本包括
- Reactor Netty
- 1.0.24
參考
歷史
- 2022-10-19:釋出了初始漏洞報告。
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略