領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2024-22271:Spring Cloud Function Web DOS 漏洞
描述
描述 在 Spring Cloud Function 框架中,4.1.x 版本早於 4.1.2,4.0.x 版本早於 4.0.8 的應用程式在嘗試使用不存在的函式來組合函式時,容易受到 DOS 攻擊。
具體來說,當所有以下條件都為真時,應用程式容易受到攻擊
使用者正在使用 Spring Cloud Function Web 模組
受影響的 Spring 產品和版本 Spring Cloud Function Framework 4.1.0 到 4.1.2 4.0.0 到 4.0.8
參考 https://springframework.tw/security/cve-2022-22979 https://checkmarx.com/blog/spring-function-cloud-dos-cve-2022-22979-and-unintended-function-invocation/ 歷史記錄 2020-01-16:釋出初始漏洞報告。
緩解措施
受影響版本的使用者應升級到相應的已修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 4.1.0 | 4.1.2 | 開源 |
| 4.0.0 | 4.0.8 | 商業 |
受影響版本的使用者應應用以下緩解措施。 4.1.x 使用者應升級到 4.1.2。 4.0.x 使用者應升級到 4.0.8。 無需其他步驟。
鳴謝
此問題由來自 VNPT-VCI 的 devme4f 發現並負責任地報告。
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略