Spring 安全通告

RSS 源

此頁面列出了 Spring 安全通告。

CVE-2024-22258:Spring Authorization Server 中的 PKCE 降級漏洞

中等級別 | 2024年3月19日 | CVE-2024-22258

描述

Spring Authorization Server 1.0.0 - 1.0.5、1.1.0 - 1.1.5、1.2.0 - 1.2.2 版本以及不受支援的舊版本,容易受到針對 Confidential Client 的 PKCE 降級攻擊。

具體來說,當 Confidential Client 在 Authorization Code 中使用 PKCE 時,應用程式就存在漏洞…

CVE-2024-22236:透過使用不安全許可權建立的臨時目錄導致本地資訊洩露

低等級別 | 2024年1月30日 | CVE-2024-22236

描述

Spring Cloud Contract 4.1.x 低於 4.1.1 版本、4.0.x 低於 4.0.5 版本以及 3.1.x 低於 3.1.10 版本,透過 org.springframework.cloud:spring-cloud-contract-shade 依賴中的陰影 (shaded) 依賴 com.google.guava:guava,測試執行容易受到透過使用不安全許可權建立的臨時目錄導致的本地資訊洩露的影響。

受影響的 Spring 產品和版本

  • Spring Cloud Contract
    • 4.1.0
    • 4.0.0 至 4.0.5
    • 3.1.0 至 3.1.10

緩解措施

將 Spring Cloud Contract 升級到 3.1.10 或 4.0.5 或 4.1.1 版本。

受影響版本的使用者應採取以下緩解措施。4.1.x 使用者應升級到 4.1.1 版本。 4.0.x 使用者應升級到 4.0.5 版本。 3.1.x 使用者應升級到 3.1.10 版本。 無需其他步驟。  已修復此問題的版本包括

  • Spring Cloud Contract
    • 4.1.1
    • 4.0.5
    • 3.1.10

致謝

此問題由來自 Oddball 的 Michael Kimball 發現並負責任地報告。

參考資料

CVE-2024-22233:Spring Framework 伺服器 Web DoS 漏洞

高等級別 | 2024年1月22日 | CVE-2024-22233

描述

在 Spring Framework 6.0.15 和 6.1.2 版本中,使用者可以提供經過特殊構造的 HTTP 請求,從而可能導致拒絕服務 (DoS) 情況。

具體來說,當滿足以下所有條件時,應用程式存在漏洞:

  • 應用程式使用 Spring MVC
  • Spring Security 6.1.6+ 或 6.2.1+ 在 classpath 中

CVE-2023-34053:Spring Framework 伺服器 Web Observations DoS 漏洞

中等級別 | 2023年11月27日 | CVE-2023-34053

描述

在 Spring Framework 6.0.0 - 6.0.13 版本中,使用者可以提供經過特殊構造的 HTTP 請求,從而可能導致拒絕服務 (DoS) 情況。

具體來說,當滿足以下所有條件時,應用程式存在漏洞:

  • 應用程式使用 Spring MVC 或 Spring WebFlux
  • io.micrometer:micrometer-core 在 classpath 中
  • 在應用程式中配置了 ObservationRegistry 來記錄 Observations

報告漏洞

要報告 Spring 專案組合中的安全漏洞,請參閱安全政策

領先一步

VMware 提供培訓和認證,助您加速進步。

瞭解更多

獲取支援

Tanzu Spring 透過一個簡單的訂閱提供對 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位制檔案。

瞭解更多

即將舉行的活動

檢視 Spring 社群所有即將舉行的活動。

檢視全部