描述

在 Spring Boot 版本 3.0.0 - 3.0.6、2.7.0 - 2.7.11、2.6.0 - 2.6.14、2.5.0 - 2.5.14 和更舊的不支援版本中，如果 Spring MVC 與反向代理快取一起使用，則存在阻斷服務 (DoS) 攻擊的潛在風險。

具體來說，如果以下所有條件都成立，則應用程式容易受到攻擊

• 應用程式已啟用 Spring MVC 自動配置。 如果 Spring MVC 在類別路徑上，預設情況下會啟用。
• 應用程式使用 Spring Boot 的歡迎頁面支援，無論是靜態還是模板。
• 您的應用程式部署在快取 404 回應的代理伺服器之後。

如果以下任何一項成立，您的應用程式則*不*容易受到攻擊

• Spring MVC 自動配置已停用。 如果明確排除 WebMvcAutoConfiguration、如果 Spring MVC 不在類別路徑上，或者如果 spring.main.web-application-type 設定為 SERVLET 以外的值，則為 true。
• 應用程式未使用 Spring Boot 的歡迎頁面支援。
• 您沒有快取 404 回應的代理伺服器。

受影響的 Spring 產品和版本

Spring Boot

3.0.0 至 3.0.6 2.7.0 至 2.7.11 2.6.0 至 2.6.14 2.5.0 至 2.5.14

較舊、不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 3.0.x 使用者應升級到 3.0.7+
• 2.7.x 使用者應升級到 2.7.12+
• 2.6.x 使用者應升級到 2.6.15+
• 2.5.x 使用者應升級到 2.5.15+

較舊、不受支援版本的使用者應升級到 3.0.7+ 或 2.7.12+。

替代方案：將反向代理設定為不快取 404 回應，和/或不快取對應用程式根目錄 (/) 的請求的回應。

貢獻者

Martin van Kervel Smedshammer