漏洞描述:
Spring Framework是spring 里面的一个基础开源框架,支持快速开发Java EE应用程序的框架,它提供了一系列底层容器和基础设施,并可以和大量常用的开源框架无缝集成。主要用于javaee的企业开发。近日监测到Spring官方发布安全公告,其中公开了一个影响SpringFramework 6.0.0~6.0.13版本之间的拒绝服务漏洞,在特定条件下,攻击者可能通过发送一个特殊的恶意请求导致服务器拒绝服务,当应用同时满足以下条件时,则会受漏洞影响,使用了 Spring MVC 或者 Spring WebFlux框架;io.micrometer:micrometer-core组件存在于应用类路径中;应用配置了ObservationRegistry来记录观察结果。一般情况下,如果Spring Boot应用使用了org.springframework.boot:spring-boot-actuator依赖则会满足以上所有条件。
影响版本:
6.0.0<=Spring Framework<=6.0.13
安全版本:
Spring Framework Version >= 6.0.14
修复建议:
正式防护方案:
官方已经发布安全版本,如有受影响的用户请尽快更新至安全版本
参考资料:
https://spring.io/security/cve-2023-34053
原文始发于微信公众号(飓风网络安全):【漏洞预警】Spring Framework 拒绝服务漏洞CVE-2023-34053
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论