描述

在 Reactor Netty HTTP 伺服器中，1.1.x 版本早於 1.1.13 以及 1.0.x 版本早於 1.0.39，使用者可以提供特製的 HTTP 請求，這可能會導致拒絕服務 (DoS) 情況。

具體來說，如果啟用了 Reactor Netty HTTP 伺服器與 Micrometer 的內建整合，則應用程式容易受到攻擊。

受影響的 Spring 產品和版本

• Reactor Netty
  • 1.1.0 到 1.1.12
  • 1.0.0 到 1.0.38
  • 以及更早的不受支援版本

緩解措施

受影響版本的使用者應應用以下緩解措施。 1.1.x 使用者應升級到 1.1.13。 1.0.x 使用者應升級到 1.0.39。無需其他步驟。

已修復此問題的版本包括

• Reactor Netty
  • 1.1.13
  • 1.0.39

作為臨時解決方法，Reactor Netty 1.1.x 和 1.0.x 使用者可以選擇停用 Reactor Netty HTTP 伺服器與 Micrometer 的內建整合。

鳴謝

此問題由 James Yuzawa（https://github.com/yuzawa-san）發現並負責任地報告。

參考

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L&version=3.1