Spring Security 安全性公告

所有公告

CVE-2024-22233:Spring Framework 伺服器 Web DoS 漏洞

| 2024 年 1 月 22 日 | CVE-2024-22233

描述

在 Spring Framework 6.0.15 和 6.1.2 版本中,使用者有可能提供特別設計的 HTTP 請求,導致阻斷服務 (DoS) 狀況。

具體來說,當所有以下條件都成立時,應用程式容易受到攻擊

  • 應用程式使用 Spring MVC
  • Spring Security 6.1.6+ 或 6.2.1+ 在類別路徑上

通常,Spring Boot 應用程式需要 org.springframework.boot:spring-boot-starter-weborg.springframework.boot:spring-boot-starter-security 依賴項才能滿足所有條件。

受影響的 Spring 產品和版本

Spring Framework

  • 6.0.15
  • 6.1.2

舊版本不受影響。

這些版本分別由 Spring Boot 3.1.7 和 3.2.1 使用。

緩解措施

受影響版本的使用者應採取以下緩解措施。

  • Spring Framework 6.0.15 使用者應升級至 6.0.16。
  • Spring Framework 6.1.2 使用者應升級至 6.1.3。

不需要其他步驟。

致謝

此問題由以下人員識別並負責回報

  • Aleksander Blomskøld
  • LiveOverflow (hextree.io), ZetaTwo, anasbekar, zzgoon, 0xLegacyy, xyzeva, AcroTiger

參考資料

回報漏洞

若要回報 Spring 系列專案中的安全性漏洞,請參閱安全性原則

搶先一步

VMware 提供培訓和認證,可加速您的進度。

了解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔案。

了解更多

即將舉辦的活動

查看 Spring 社群中所有即將舉辦的活動。

檢視全部