更進一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2024-22233:Spring Framework 伺服器 Web DoS 漏洞
描述
在 Spring Framework 6.0.15 和 6.1.2 版本中,使用者可以提供特別製作的 HTTP 請求,這可能導致拒絕服務 (DoS) 情況。
具體來說,當滿足以下所有條件時,應用程式容易受到攻擊
- 應用程式使用 Spring MVC
- 類路徑上有 Spring Security 6.1.6+ 或 6.2.1+
通常,Spring Boot 應用程式需要 org.springframework.boot:spring-boot-starter-web 和 org.springframework.boot:spring-boot-starter-security 依賴項才能滿足所有條件。
受影響的 Spring 產品和版本
Spring Framework
- 6.0.15
- 6.1.2
較舊的版本不受影響。
這些版本分別被 Spring Boot 3.1.7 和 3.2.1 使用。
緩解措施
受影響版本的使用者應採取以下緩解措施。
- Spring Framework 6.0.15 使用者應升級到 6.0.16。
- Spring Framework 6.1.2 使用者應升級到 6.1.3。
不需要其他步驟。
鳴謝
此問題由以下人員發現並負責任地報告:
- Aleksander Blomskøld
- LiveOverflow (hextree.io), ZetaTwo, anasbekar, zzgoon, 0xLegacyy, xyzeva, AcroTiger
參考
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略