搶先一步
VMware 提供培訓和認證,以加速您的進度。
了解更多Spring Security 安全建議
CVE-2023-34055:Spring Boot 伺服器 Web Observations DoS 漏洞
說明
在 Spring Boot 2.7.0 - 2.7.17、3.0.0-3.0.12 和 3.1.0-3.1.5 版本中,使用者可以提供特別製作的 HTTP 請求,可能導致阻斷服務 (DoS) 狀況。
具體來說,當以下所有條件都成立時,應用程式容易受到攻擊
- 應用程式使用 Spring MVC 或 Spring WebFlux
org.springframework.boot:spring-boot-actuator在 classpath 中
受影響的 Spring 產品和版本
Spring Boot
- 2.7.0 至 2.7.17
- 3.0.0 至 3.0.12
- 3.1.0 至 3.1.5
以及較舊的不支援版本。
Spring Boot 3.x 版本也受到 CVE-2023-34053 的影響,這是 Spring Framework 中類似的問題。Spring Boot 3.0.13 和 3.1.6 版本將 Spring Framework 升級到相關版本。
緩解措施
受影響版本的用戶應採用以下緩解措施。
- 2.7.x 之前的用戶應升級到 2.7.18。
- Spring Boot 2.7.x 用戶應升級到 2.7.18。
- Spring Boot 3.0.x 用戶應升級到 3.0.13。
- Spring Boot 3.1.x 用戶應升級到 3.1.6。
無需其他步驟。
作為臨時解決方案,Spring Boot 用戶可以選擇使用以下屬性禁用 Web 指標:management.metrics.enable.http.server.requests=false
鳴謝
此問題由 James Yuzawa 發現並負責地報告。
參考資料
報告漏洞
若要報告 Spring 系列專案中的安全漏洞,請參閱安全策略