搶先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2024-38807:Spring Boot載入器中的簽名偽造漏洞
描述
使用 spring-boot-loader 或 spring-boot-loader-classic 並且包含執行巢狀 jar 檔案簽名驗證的自定義程式碼的應用程式可能會受到簽名偽造的攻擊。在這種攻擊中,看起來由一個簽名者簽名的內容實際上是由另一個簽名者簽名的。
受影響的 Spring 產品和版本
Spring Boot
- 2.7.0 - 2.7.21
- 3.0.0 - 3.0.16
- 3.1.0 - 3.1.12
- 3.2.0 - 3.2.8
- 3.3.0 - 3.3.2
緩解措施
受影響版本的使用者應升級到相應的修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 2.7.x | 2.7.22 | 僅企業支援 |
| 3.0.x | 3.0.17 | 僅企業支援 |
| 3.1.x | 3.1.13 | 僅企業支援 |
| 3.2.x | 3.2.9 | OSS |
| 3.3.x | 3.3.3 | OSS |
致謝
此問題由 Yufan You 發現並負責任地報告。
參考
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略