Spring Security 安全性公告

所有公告

CVE-2023-34053:Spring Framework 伺服器 Web 觀察 DoS 漏洞

中等 | 2023 年 11 月 27 日 | CVE-2023-34053

描述

在 Spring Framework 6.0.0 - 6.0.13 版本中,使用者有可能提供經過特殊設計的 HTTP 請求,導致阻斷服務 (DoS) 狀況。

具體來說,當滿足以下所有條件時,應用程式會受到攻擊:

  • 應用程式使用 Spring MVC 或 Spring WebFlux
  • io.micrometer:micrometer-core 在 classpath 中
  • 應用程式中設定了 ObservationRegistry 以記錄觀察

通常,Spring Boot 應用程式需要 org.springframework.boot:spring-boot-actuator 依賴項才能滿足所有條件。

受影響的 Spring 產品和版本

Spring Framework

  • 6.0.0 至 6.0.13

舊版本不受影響。

緩解措施

受影響版本的用戶應採用以下緩解措施。

  • Spring Framework 6.0.x 的用戶應升級到 6.0.14。

無需其他步驟。

作為臨時解決方法,Spring Boot 3.0.x 和 3.1.x 的用戶可以選擇使用以下屬性禁用 Web Framework 觀察:management.metrics.enable.http.server.requests=false

鳴謝

此問題由 James Yuzawa 發現並負責地回報。

參考文獻

回報漏洞

若要回報 Spring 產品組合中的專案的安全漏洞,請參閱安全性政策

搶先一步

VMware 提供培訓和認證,以加速您的進展。

了解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔案。

了解更多

即將舉行的活動

查看 Spring 社群中所有即將舉行的活動。

查看全部