描述:
Spring Boot是一个基于Java的开源框架, 目的是为了简化Spring应用的初始搭建以及开发过程。如果应用程序启用了 Spring MVC 自动配置、使用了Spring Boot的欢迎页面支持(无论是静态的还是模板化的),且应用程序部署在缓存404响应的代理之后,则应用程序容易受到拒绝服务(DoS) 攻击。
漏洞利用条件:
应用程序启用了 Spring MVC 自动配置、使用了Spring Boot的欢迎页面支持(无论是静态的还是模板化的),且应用程序部署在缓存404响应的代理之后。
漏洞利用可能性:低
漏洞影响版本:
Spring Boot 3.0.x版本:3.0.0 - 3.0.6
Spring Boot 2.7.x版本:2.7.0 - 2.7.11
Spring Boot 2.6.x版本:2.6.0 - 2.6.14
Spring Boot 2.5.x版本:2.5.0 - 2.5.14
以及不受支持的旧版本。
修复方案:
若满足以下所有情况,则受到此漏洞影响:
该应用程序启用了 Spring MVC 自动配置。如果 Spring MVC 在类路径上,则默认情况下就是这种情况。
该应用程序利用 Spring Boot 的欢迎页面支持,无论是静态的还是模板化的。
应用程序部署在缓存 404 响应的代理后面。
官方修复方案:
3.0.x 版本升级到 3.0.7及以上版本
2.7.x 版本升级到 2.7.12及以上版本
2.6.x 版本升级到 2.6.15及以上版本
2.5.x 版本升级到 2.5.15及以上版本
更早不再维护的版本升级到3.0.7及以上版本或2.7.12及以上版本
临时修复方案:
配置反向代理不缓存 404 响应或不缓存对应用程序根 (/) 请求的响应。
原文始发于微信公众号(飓风网络安全):【漏洞预警】Spring Boot 拒绝服务漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论