Spring Security 安全性公告

所有公告

CVE-2023-34054:Reactor Netty HTTP 伺服器指標 DoS 漏洞

| 2023 年 11 月 27 日 | CVE-2023-34054

描述

在 Reactor Netty HTTP 伺服器中,版本 1.1.x 早於 1.1.13 以及版本 1.0.x 早於 1.0.39,使用者可以提供特別設計的 HTTP 請求,可能導致阻斷服務 (DoS) 狀況。

具體來說,如果啟用了 Reactor Netty HTTP 伺服器與 Micrometer 的內建整合,則應用程式容易受到攻擊。

受影響的 Spring 產品和版本

  • Reactor Netty
    • 1.1.0 到 1.1.12
    • 1.0.0 到 1.0.38
    • 以及較舊的不支援版本

緩解措施

受影響版本的使用者應套用以下緩解措施。 1.1.x 使用者應升級至 1.1.13。 1.0.x 使用者應升級至 1.0.39。 不需要其他步驟。

已修復此問題的版本包括

  • Reactor Netty
    • 1.1.13
    • 1.0.39

作為臨時解決方法,Reactor Netty 1.1.x 和 1.0.x 使用者可以選擇停用 Reactor Netty HTTP 伺服器與 Micrometer 的內建整合。

致謝

此問題由 James Yuzawa(https://github.com/yuzawa-san)發現並負責地回報。

參考資料

回報漏洞

若要回報 Spring 系列專案中的安全性漏洞,請參閱安全性政策

搶先一步

VMware 提供培訓和認證,可加速您的進度。

瞭解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔案。

瞭解更多

即將舉行的活動

查看 Spring 社群中所有即將舉行的活動。

查看全部