更進一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2024-38809:Spring Framework 透過條件 HTTP 請求造成 DoS 攻擊
描述
從 "If-Match" 或 "If-None-Match" 請求標頭解析 ETags 的應用程式容易受到 DoS 攻擊。
受影響的 Spring 產品和版本
Spring Framework
- 6.1.0 - 6.1.11
- 6.0.0 - 6.0.22
- 5.3.0 - 5.3.37
- 舊的、不受支援的版本也會受到影響
緩解措施
受影響版本的使用者應升級到相應的修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 6.1.x | 6.1.12 | OSS |
| 6.0.x | 6.0.23 | OSS |
| 5.3.x | 5.3.38 | OSS |
不需要其他緩解措施。
舊的、不受支援的版本的使用者可以強制限制 "If-Match" 和 "If-None-Match" 標頭的大小,例如透過 Filter。
鳴謝
此問題由 Seokchan Yoon 負責任地報告。
歷史
- 2024-08-14:釋出初始漏洞報告。
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略