搶先一步
VMware 提供培訓和認證,以加速您的進展。
了解更多Spring Security 安全性公告
CVE-2024-38809:Spring Framework 條件式 HTTP 請求阻斷服務 (DoS) 漏洞
描述
解析來自 "If-Match" 或 "If-None-Match" 請求標頭之 ETags 的應用程式容易受到阻斷服務 (DoS) 攻擊。
受影響的 Spring 產品與版本
Spring Framework
- 6.1.0 - 6.1.11
- 6.0.0 - 6.0.22
- 5.3.0 - 5.3.37
- 較舊、不受支援的版本也受影響
緩解措施
受影響版本的用戶應升級至對應的修復版本。
| 受影響版本 | 修復版本 | 可用性 |
|---|---|---|
| 6.1.x | 6.1.12 | 開放原始碼 |
| 6.0.x | 6.0.23 | 開放原始碼 |
| 5.3.x | 5.3.38 | 開放原始碼 |
無需其他緩解步驟。
較舊、不受支援版本的用戶可以對 "If-Match" 和 "If-None-Match" 標頭強制執行大小限制,例如透過 Filter。
鳴謝
此問題由 Seokchan Yoon 負責地回報。
歷史記錄
- 2024-08-14:首次發布漏洞報告。
回報漏洞
若要回報 Spring 產品組合中專案的安全性漏洞,請參閱「安全性政策」。