搶先一步
VMware 提供培訓和認證,以加速您的進度。
了解更多Spring Security 安全性公告
CVE-2024-22271:Spring Cloud Function Web DOS 漏洞
描述
描述:在 Spring Cloud Function 框架中,4.1.x 版本 (不含 4.1.2) 和 4.0.x 版本 (不含 4.0.8) 的應用程式,在嘗試使用不存在的函數組合函數時,容易受到 DOS 攻擊。
具體而言,當滿足以下所有條件時,應用程式容易受到攻擊:
使用者正在使用 Spring Cloud Function Web 模組
受影響的 Spring 產品和版本:Spring Cloud Function Framework 4.1.0 至 4.1.2,4.0.0 至 4.0.8
參考資料:https://spring.dev.org.tw/security/cve-2022-22979 https://checkmarx.com/blog/spring-function-cloud-dos-cve-2022-22979-and-unintended-function-invocation/ 歷史記錄:2020-01-16:發布初始漏洞報告。
緩解措施
受影響版本的用戶應升級到相應的已修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 4.1.0 | 4.1.2 | OSS |
| 4.0.0 | 4.0.8 | 商業 |
受影響版本的用戶應應用以下緩解措施。4.1.x 用戶應升級到 4.1.2。4.0.x 用戶應升級到 4.0.8。無需其他步驟。
致謝
此問題由 VNPT-VCI 的 devme4f 發現並負責地報告。
報告漏洞
要報告 Spring 產品組合中專案的安全性漏洞,請參閱安全性原則