領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2025-22234: Spring Security BCryptPasswordEncoder 最大密碼長度破壞了時序攻擊緩解
描述
在 CVE-2025-22228 中應用的修復無意中破壞了 DaoAuthenticationProvider 中實現的時序攻擊緩解措施。
受影響的 Spring 產品和版本
Spring Security
- 僅限 5.7.16
- 僅限 5.8.18
- 僅限 6.0.16
- 僅限 6.1.14
- 僅限 6.2.10
- 僅限 6.3.8
- 僅限 6.4.4
- 較舊的、不受支援的版本也受到影響
緩解措施
受影響版本的使用者應升級到相應的修復版本。
| 受影響版本 | 修復版本 | 可用性 |
|---|---|---|
| 5.7.16 | 5.7.17 | 僅限企業支援 |
| 5.8.18 | 5.8.19 | 僅限企業支援 |
| 6.0.16 | 6.0.17 | 僅限企業支援 |
| 6.1.14 | 6.1.15 | 僅限企業支援 |
| 6.2.10 | 6.2.11 | 僅限企業支援 |
| 6.3.8 | 6.3.9 | OSS |
| 6.4.4 | 6.4.5 | OSS |
致謝
Jonas Robl ([email protected]) 發現並負責任地報告了此問題。
參考資料
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略