領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2022-31684:Reactor Netty HTTP 伺服器可能記錄請求頭
描述
Reactor Netty HTTP伺服器在1.0.11至1.0.23版本中,在某些無效HTTP請求的情況下,可能會記錄請求頭。被記錄的請求頭可能會向有權訪問伺服器日誌的人員洩露有效的訪問令牌。這可能隻影響啟用了WARN級別日誌記錄的無效HTTP請求。
受影響的 Spring 產品和版本
- Reactor Netty
- 1.0.11至1.0.23
緩解措施
受影響版本的使用者應採取以下緩解措施。不使用預設日誌級別(ERROR)的1.0.x使用者應升級到1.0.24(reactor-bom 2020.0.24)。無需其他步驟。已修復此問題的版本包括
- Reactor Netty
- 1.0.24
參考資料
歷史
- 2022-10-19:最初的漏洞報告發布。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略