Spring Security 安全性建議

所有建議

CVE-2022-22971:Spring Framework 透過 WebSocket 使用 STOMP 造成的阻斷服務攻擊 (DoS)

中等 | 2022 年 5 月 11 日 | CVE-2022-22971

描述

具有基於 WebSocket 的 STOMP 端點的 Spring 應用程式容易受到經過身份驗證的使用者發起的阻斷服務攻擊。

受影響的 Spring 產品和版本

  • Spring Framework
    • 5.3.0 至 5.3.19
    • 5.2.0 至 5.2.21
    • 較舊、不受支援的版本也受到影響

緩解措施

受影響版本的用戶應套用以下緩解措施:5.3.x 用戶應升級至 5.3.20;5.2.x 用戶應升級至 5.2.22。 無需其他步驟。 已修正此問題的版本包括

  • Spring Framework
    • 5.3.20
    • 5.2.22

致謝

此漏洞由 HMS Industrial Networks 的 David Delbecq 和 Rémy Vermeiren 負責地向 VMware 報告,Business Unit Ewon,R&D 部門 - 軟體。

參考資料

歷史

  • 2022-05-11:發布初始漏洞報告。

報告漏洞

要報告 Spring 產品組合中的專案的安全性漏洞,請參閱安全性政策

搶先一步

VMware 提供培訓和認證,以加速您的進度。

了解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔案。

了解更多

即將舉行的活動

查看 Spring 社群中所有即將舉行的活動。

檢視全部