Spring Cloud 突發漏洞
Log4j2 的核彈級漏洞剛告一段落,Spring Cloud Gateway 又突發高危漏洞,又得折騰了。。。
2022年3月1日,Spring官方釋出了關于Spring Cloud Gateway的兩個CVE漏洞,分别為CVE-2022-22946與CVE-2022-22947:
版本/分支/tag: 3.4.X問題描述
Spring Cloud Gateway 是 Spring Cloud 下的一個項目,該項目是基于 Spring 5.0、Spring Boot 2.0 和 Project Reactor 等技術開發的網關,它旨在為微服務架構提供一種簡單有效、統一的 API 路由管理方式。
漏洞1:Spring Cloud Gateway 遠端代碼執行漏洞(CVE-2022-22947)
3 月 1 日,VMware 官方釋出安全公告,聲明對 Spring Cloud Gateway 中的一處指令注入漏洞進行了修複,漏洞編号為 CVE-2022-22947:
https://tanzu.vmware.com/security/cve-2022-22947
漏洞描述
使用 Spring Cloud Gateway 的應用如果對外暴露了 Gateway Actuator 端點時,則可能存在被 CVE-2022-22947 漏洞利用的風險。攻擊者可通過利用此漏洞執行 SpEL 表達式,允許在遠端主機上進行任意遠端執行。,擷取系統權限。
影響範圍
漏洞利用的前置條件:
- 除了 Spring Cloud Gateway 外,程式還用到了 Spring Boot Actuator 元件(它用于對外提供 /actuator/ 接口);
- Spring 配置對外暴露 gateway 接口,如 application.properties 配置為:
# 預設為true management.endpoint.gateway.enabled=true # 以逗号分隔的一系列值,預設為 health # 若包含 gateway 即表示對外提供 Spring Cloud Gateway 接口 management.endpoints.web.exposure.include=gateway
漏洞影響的 Spring Cloud Gateway 版本範圍:
- Spring Cloud Gateway 3.1.x < 3.1.1
- Spring Cloud Gateway 3.0.x < 3.0.7
- 其他舊的、不受支援的 Spring Cloud Gateway 版本
解決方案
更新更新 Spring Cloud Gateway 到以下安全版本:
- Spring Cloud Gateway 3.1.1
- Spring Cloud Gateway 3.0.7
或者在不考慮影響業務的情況下禁用 Gateway actuator 接口:
在application.properties 中設定 :微信搜尋公衆号:Java後端程式設計,回複:java 領取資料 。
management.endpoint.gateway.enabled 為 false。
漏洞2:CVE-2022-22946:Spring Cloud Gateway HTTP2 不安全的 TrustManager
使用配置為啟用 HTTP2 且未設定密鑰存儲或受信任證書的 Spring Cloud Gateway 的應用程式将被配置為使用不安全的 TrustManager。這使得網關能夠使用無效或自定義證書連接配接到遠端服務。
Spring Cloud Gateway = 3.1.0
官方已經釋出安全版本,請更新到3.1.1+
參考資料
- https://tanzu.vmware.com/security/cve-2022-22946
如果本文對你有幫助的話,請不要吝啬你的贊,謝謝!
(完)
PS:如果覺得我的分享不錯,歡迎大家随手點贊、在看。
關注公衆号:Java後端程式設計,回複下面關鍵字
要Java學習完整路線,回複 路線
缺Java入門視訊,回複: 視訊
要Java面試經驗,回複 面試
缺Java項目,回複: 項目
進Java粉絲群: 加群
PS:如果覺得我的分享不錯,歡迎大家随手點贊、在看。
(完)
加我"微信" 擷取一份 最新Java面試題資料
請備注:666,不然不通過~
最近好文
1、再見了,收費的XShell,我改用國産良心工具!
2、給IDEA換個酷炫的主題,真的太好看了!
3、SpringBoot快速開發利器:Spring Boot CLI
4、基于SpringBoot 的CMS系統,拿去開發企業官網
5、本機号碼一鍵登入原理與應用
最近面試BAT,整理一份面試資料《Java面試BAT通關手冊》,覆寫了Java核心技術、JVM、Java并發、SSM、微服務、資料庫、資料結構等等。
java
明天見(。・ω・。)ノ♡