Spring Security 安全性建議

所有建議

CVE-2021-22113:Spring Cloud Netflix Zuul “敏感標頭”繞過漏洞

| 2021 年 2 月 11 日 | CVE-2021-22113

描述

使用 Spring Cloud Netflix Zuul 2.2.6.RELEASE 及更早版本中“敏感標頭”功能的應用程式,在執行具有特殊建構 URL 的請求時,可能容易受到繞過“敏感標頭”限制的攻擊。 使用 Spring Security 的 StrictHttpFirewall(預設為所有 URL 啟用)的應用程式不受此漏洞的影響,因為它們會拒絕允許繞過的請求。

受影響的 Spring 產品與版本

  • Spring Cloud Netflix Zuul
    • 2.2.6 及更早版本

緩解措施

使用者應升級至 2.2.7 及更高版本。 已修正此問題的版本包括:

  • Spring Cloud Netflix Zuul
    • 2.2.7

致謝

此問題由 threedr3am (threedr3am at foxmail.com) 發現並負責地回報。

參考資料

歷史

  • 2021-02-11:發布初始漏洞報告。

回報漏洞

如需回報 Spring 產品組合中專案的安全性漏洞,請參閱安全性原則

搶先一步

VMware 提供訓練與認證,以加速您的進度。

瞭解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔案。

瞭解更多

即將舉辦的活動

查看 Spring 社群中所有即將舉辦的活動。

檢視全部