近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒,VMware官方发布了安全公告,解决了在Spring Security OAuth 2中存在的一个拒绝服务漏洞(CVE-2022-22969),请受影响用户尽快安装更新补丁,避免受到影响。
1漏洞综述
1.1 漏洞背景
OAuth 协议是一个安全的、开放而又简易的用户资源授权协议,与以往的授权方式不同之处是 OAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),从而保证用户信息的安全。spring-security-oauth2是基于spring-security框架完整实现oauth2协议的框架,具有oauth2的4种模式访问和第三方登录等功能。
1.2 漏洞原理
该漏洞是由于在 OAuth 2.0 客户端程序中发起的授权请求容易使spring-security-oauth受到拒绝服务攻击,恶意攻击者可以通过发送多个请求从而启动授权功能,这可能会导致单个会话耗尽系统资源,最终服务器停止服务。
2影响范围
2.5.x < spring-security-oauth <= 2.5.2
3处置方法
3.1 官方补丁
目前官方已发布更新补丁,请受影响用户及时关注并尽快更新,官方链接:https://github.com/spring-projects/spring-security-oauth/tags
原文始发于微信公众号(沈阳网络安全协会):Spring Security Oauth2拒绝服务漏洞安全通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论