突發！Spring Cloud 爆高危漏洞。。趕緊修複

Spring Cloud 突發漏洞

Log4j2 的核彈級漏洞剛告一段落，Spring Cloud Gateway 又突發高危漏洞，又得折騰了。。。

2022年3月1日，Spring官方釋出了關于Spring Cloud Gateway的兩個CVE漏洞，分别為CVE-2022-22946與CVE-2022-22947：

版本/分支/tag： 3.4.X問題描述

Spring Cloud Gateway 是 Spring Cloud 下的一個項目，該項目是基于 Spring 5.0、Spring Boot 2.0 和 Project Reactor 等技術開發的網關，它旨在為微服務架構提供一種簡單有效、統一的 API 路由管理方式。

漏洞1：Spring Cloud Gateway 遠端代碼執行漏洞（CVE-2022-22947）

3 月 1 日，VMware 官方釋出安全公告，聲明對 Spring Cloud Gateway 中的一處指令注入漏洞進行了修複，漏洞編号為 CVE-2022-22947：

https://tanzu.vmware.com/security/cve-2022-22947

漏洞描述

使用 Spring Cloud Gateway 的應用如果對外暴露了 Gateway Actuator 端點時，則可能存在被 CVE-2022-22947 漏洞利用的風險。攻擊者可通過利用此漏洞執行 SpEL 表達式，允許在遠端主機上進行任意遠端執行。，擷取系統權限。

影響範圍

漏洞利用的前置條件：

1. 除了 Spring Cloud Gateway 外，程式還用到了 Spring Boot Actuator 元件（它用于對外提供 /actuator/ 接口）；
2. Spring 配置對外暴露 gateway 接口，如 application.properties 配置為：

# 預設為true              management.endpoint.gateway.enabled=true              # 以逗号分隔的一系列值，預設為 health              # 若包含 gateway 即表示對外提供 Spring Cloud Gateway 接口              management.endpoints.web.exposure.include=gateway           

漏洞影響的 Spring Cloud Gateway 版本範圍：

• Spring Cloud Gateway 3.1.x < 3.1.1
• Spring Cloud Gateway 3.0.x < 3.0.7
• 其他舊的、不受支援的 Spring Cloud Gateway 版本

解決方案

更新更新 Spring Cloud Gateway 到以下安全版本：

• Spring Cloud Gateway 3.1.1
• Spring Cloud Gateway 3.0.7

或者在不考慮影響業務的情況下禁用 Gateway actuator 接口：

在application.properties 中設定 ：微信搜尋公衆号：Java後端程式設計，回複：java 領取資料 。

management.endpoint.gateway.enabled 為 false。           

漏洞2：CVE-2022-22946：Spring Cloud Gateway HTTP2 不安全的 TrustManager

使用配置為啟用 HTTP2 且未設定密鑰存儲或受信任證書的 Spring Cloud Gateway 的應用程式将被配置為使用不安全的 TrustManager。這使得網關能夠使用無效或自定義證書連接配接到遠端服務。

Spring Cloud Gateway = 3.1.0

官方已經釋出安全版本，請更新到3.1.1+

參考資料

• https://tanzu.vmware.com/security/cve-2022-22946

如果本文對你有幫助的話，請不要吝啬你的贊，謝謝！

（完）
       
PS：如果覺得我的分享不錯，歡迎大家随手點贊、在看。
       
關注公衆号：Java後端程式設計，回複下面關鍵字 
       
要Java學習完整路線，回複  路線 

缺Java入門視訊，回複： 視訊 

要Java面試經驗，回複  面試 

缺Java項目，回複： 項目 

進Java粉絲群： 加群 
       
PS：如果覺得我的分享不錯，歡迎大家随手點贊、在看。
       
（完）


加我"微信" 擷取一份 最新Java面試題資料


請備注：666，不然不通過～




最近好文


1、再見了，收費的XShell，我改用國産良心工具！


2、給IDEA換個酷炫的主題，真的太好看了！


3、SpringBoot快速開發利器：Spring Boot CLI


4、基于SpringBoot 的CMS系統，拿去開發企業官網


5、本機号碼一鍵登入原理與應用


       
最近面試BAT，整理一份面試資料《Java面試BAT通關手冊》，覆寫了Java核心技術、JVM、Java并發、SSM、微服務、資料庫、資料結構等等。

java
      
        

明天見(｡･ω･｡)ﾉ♡