描述

在 Spring Boot 版本 2.7.0 - 2.7.17、3.0.0-3.0.12 和 3.1.0-3.1.5 中，使用者可以提供特製的 HTTP 請求，這可能會導致拒絕服務 (DoS) 情況。

具體來說，當所有以下條件都為真時，應用程式容易受到攻擊

• 應用程式使用 Spring MVC 或 Spring WebFlux
• org.springframework.boot:spring-boot-actuator 在類路徑上

受影響的 Spring 產品和版本

Spring Boot

• 2.7.0 到 2.7.17
• 3.0.0 到 3.0.12
• 3.1.0 到 3.1.5

以及較舊的不受支援的版本。

Spring Boot 3.x 版本也受到 CVE-2023-34053 的影響，這是 Spring Framework 中的類似問題。 Spring Boot 3.0.13 和 3.1.6 版本將 Spring Framework 升級到相關版本。

緩解措施

受影響版本的使用者應採取以下緩解措施。

• 2.7.x 之前的使用者應升級到 2.7.18。
• Spring Boot 2.7.x 使用者應升級到 2.7.18。
• Spring Boot 3.0.x 使用者應升級到 3.0.13。
• Spring Boot 3.1.x 使用者應升級到 3.1.6。

不需要其他步驟。

作為臨時解決方法，Spring Boot 使用者可以選擇使用以下屬性停用 Web 指標：management.metrics.enable.http.server.requests=false

鳴謝

該問題由 James Yuzawa 發現並負責任地報告。

參考

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L&version=3.1