我們已發布適用於 Eclipse 的 STS 4.16.1 和 Spring VSCode 擴充功能 1.40.0，以解決以下 CVE 報告

• CVE-2022-31691：透過 Eclipse 和 VSCode 的 STS4 擴充功能中的 YAML 編輯器遠端執行程式碼

請查看 CVE 報告中的資訊並立即升級。

Eclipse：STS 升級至 4.16.1 VSCode：Spring Boot Tools 升級至 1.40.0 VSCode：Concourse CI Pipeline Editor 升級至 1.40.0 VSCode：Bosh Editor 升級至 1.40.0 VSCode：Cloudfoundry Manifest YML Support 升級至 1.40.0

請參閱 Spring Tools 頁面以查找最新版本

我很高興地宣布 Spring Modulith 0.1 的第二個里程碑版本已推出。此版本包含一些小錯誤修復以及一些社群對參考文件的貢獻。請在此處找到有關該版本中包含的變更的完整概述：這裡。如需專案的一般介紹，請參閱介紹部落格文章。

目前的計畫是在 Spring Boot 的第二個 RC 之後發布一個 0.1 RC1，然後緊接著 Boot 的 GA 版本發布 GA 版本。

謹代表團隊以及所有貢獻者，我很高興地宣布 Spring Authorization Server 0.4.0-RC1 正式發布。

您可以從 repo.spring.io 里程碑儲存庫下載它，方法是使用模組座標

implementation 'org.springframework.security:spring-security-oauth2-authorization-server:0.4.0-RC1'

請參閱發布說明以取得完整詳細資料。

若要開始使用 Spring Authorization Server，請參閱參考文件的入門章節以及範例，以熟悉設定和配置。

我們很樂意收集您的…

謹代表團隊以及所有貢獻者，我很高興地宣布 Spring Authorization Server 1.0.0-RC1 正式發布。

您可以從 repo.spring.io 里程碑儲存庫下載它，方法是使用模組座標

implementation 'org.springframework.security:spring-security-oauth2-authorization-server:1.0.0-RC1'

請參閱發布說明以取得完整詳細資料。

若要開始使用 Spring Authorization Server，請參閱參考文件的入門章節以及範例，以熟悉設定和配置。

我們很樂意收集您的…

2022 年 10 月 31 日發布的 Spring Security 5.6.9 和 5.7.5 包含 CVE-2022-31692 的修復程式，該程式會影響 AuthorizationFilter。建議使用者盡快更新。

Spring Security 在 2022 年 10 月 31 日發布的 5.6.9 和 5.7.5 包含 CVE-2022-31690 的修復程式，該程式會影響 spring-security-oauth2-client 中已授權範圍的對應。建議使用者盡快更新。

影響

已應用此緩解措施的使用者應注意以下影響

當授權伺服器 (AS) 回應 OAuth2 存取權杖回應時，如果沒有或缺少 scope 參數，則不會將任何已授權的範圍對應到主體 (目前使用者)。

如果您受到此漏洞的影響，當 AS 未傳回範圍時，使用者將不會被授予任何以 SCOPE_ 開頭的權限。只有特殊權限 ROLE_USER…

謹代表團隊以及所有貢獻者，我很高興地宣布 Spring Security 5.7.5 和 5.6.9 現已推出。在這兩種情況下，發布都由錯誤修復組成。

若要了解更多資訊，請造訪 5.7.5 和 5.6.9 發布摘要。

專案網站 | 參考 | 說明

嗨，Spring 粉絲們！歡迎收看另一期本週 Spring！你們好嗎？如果您慶祝萬聖節，我希望您一切順利，並度過一個愉快的萬聖節。我過得很好。我在陽光明媚的馬來西亞吉隆坡，吃著美味的食物，與很棒的人們閒逛。明天，我將前往馬來西亞檳城，進行一些觀光，然後再回到一個更以程式碼驅動的樂趣：我將在 11 月 11 日在吉隆坡舉辦一個開發人員活動，了解 Spring Boot 3 的最新和最棒的東西 - 從現在開始短短十天！ - 所以請加入我！

此外，我剛剛加入了 Mastodon - 一個分散式且開放原始碼的 Twitter；我當然不會離開 Twitter，但我很樂意結交新朋友並在那裡發展社群：@[email protected]…

謹代表社群，我很高興地宣布 Spring Cloud 2022.0 Release Train 的候選版本 1 (RC1) 今天推出。該版本可以在 Spring Milestone 儲存庫中找到。您可以查看 2022.0 發布說明以取得更多資訊。

2022.0.0 Release Train 中的顯著變更

請參閱 此處 關閉的所有問題。

Spring Cloud Function

• 可觀察性和原生提示的更新

Spring Cloud OpenFeign

• 新增了對目標 URL 重新整理的支援 (#710)
• 新增對 LoadBalancer X-Forwarded Headers 的支援 (#748)
• 設定 Jackson 自動配置預設為啟用狀態 (#476)
• 移除已棄用的項目，並調整以符合 Feign 中的 API 變更 (#768)
…