領先一步
VMware 提供訓練和認證,加速您的進度。
深入瞭解Spring Security 安全性建議
CVE-2022-31684: Reactor Netty HTTP 伺服器可能記錄請求標頭
描述
Reactor Netty HTTP 伺服器,在 1.0.11 - 1.0.23 版本中,在某些無效的 HTTP 請求情況下可能會記錄請求標頭。記錄的標頭可能會向有權訪問伺服器日誌的人員洩露有效的存取權杖。這可能只會影響啟用 WARN 等級記錄的無效 HTTP 請求。
受影響的 Spring 產品和版本
- Reactor Netty
- 1.0.11 到 1.0.23
緩解措施
受影響版本的用戶應套用以下緩解措施。不使用預設日誌等級 (ERROR) 的 1.0.x 用戶應升級到 1.0.24 (reactor-bom 2020.0.24)。無需其他步驟。已修復此問題的版本包括
- Reactor Netty
- 1.0.24
參考文獻
歷史紀錄
- 2022-10-19:發布初步漏洞報告。
回報漏洞
若要回報 Spring 產品組合中專案的安全性漏洞,請參閱安全性原則