領先一步
VMware 提供培訓和認證,以加速您的進展。
了解更多Spring Security 安全性建議
CVE-2024-38807:Spring Boot Loader 中的簽章偽造漏洞
描述
使用 spring-boot-loader 或 spring-boot-loader-classic 且包含執行巢狀 jar 檔案簽章驗證的自訂程式碼的應用程式,可能容易受到簽章偽造的影響,其中看似由一個簽署者簽署的內容實際上是由另一個簽署者簽署。
受影響的 Spring 產品和版本
Spring Boot
- 2.7.0 - 2.7.21
- 3.0.0 - 3.0.16
- 3.1.0 - 3.1.12
- 3.2.0 - 3.2.8
- 3.3.0 - 3.3.2
缓解措施
受影響版本的用戶應升級到相應的修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 2.7.x | 2.7.22 | 僅限企業支援 |
| 3.0.x | 3.0.17 | 僅限企業支援 |
| 3.1.x | 3.1.13 | 僅限企業支援 |
| 3.2.x | 3.2.9 | OSS |
| 3.3.x | 3.3.3 | OSS |
貢獻
此問題由 Yufan You 發現並負責任地回報。
參考資料
回報漏洞
若要回報 Spring 系列專案中的安全性漏洞,請參閱安全性政策