大家好，我是DD

3月1日，Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告。

其中包含一个高风险漏洞和一个中风险漏洞，建议有使用Spring Cloud Gateway的用户及时升级版本到3.1.1+、3.0.7+或采用其他缓解方法加强安全防护。

有涉及的小伙伴可以看看下面具体这两个漏洞的内容和缓解方法。

CVE-2022-22947：代码注入漏洞

严重性：Critical

漏洞描述：使用Spring Cloud Gateway的应用程序在Actuator端点在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可以恶意创建允许在远程主机上执行任意远程执行的请求。

影响范围：

Spring Cloud Gateway以下版本均受影响：

• 3.1.0
• 3.0.0至3.0.6
• 其他老版本

缓解方法：

受影响版本的用户可以通过以下措施补救。

• 3.1.x用户应升级到3.1.1+
• 3.0.x用户应升级到3.0.7+
• 如果不需要Actuator端点，可以通过management.endpoint.gateway.enable：false配置将其禁用
• 如果需要Actuator端点，则应使用Spring Security对其进行保护

CVE-2022-22946：HTTP2 Insecure TrustManager

严重性：Medium

漏洞描述：当启用HTTP2，并且没有设置密钥存储或可信证书的应用程序将配置为使用不安全的TrustManager。这使得网关能够使用无效或自定义证书连接到远程服务。

影响范围：

Spring Cloud Gateway以下版本受影响：

• 3.1.0

缓解方法：

• 3.1.x用户升级到3.1.1+

本文首发：Spring Cloud Gateway现高风险漏洞，建议采取措施加强防护，欢迎关注我的博客，分享最前沿的技术资讯。

欢迎关注我的公众号：程序猿DD。第一时间了解前沿行业消息、分享深度技术干货、获取优质学习资源

最新文章

1. Linux内核笔记--网络子系统初探
2. [Java 安全]加密算法
3. hadoop中遇到的一些问题
4. 极光推送Jpush(v3)服务端PHP版本集成（V3版本只调用推送API）
5. 只需三步 快速完善网站Sitemap
6. uploadify插件的功能应用
7. 安装好php后，配置httpd以便支持php3脚本
8. Golang 实现简单的滚动读取文本更新
9. foundation系列
10. android学习笔记十——TabHost
11. IE的CSS相关的BUG(整理一)
12. C#模拟登录的htmlHelper类
13. js代码中的parent，top和self有什么区别
14. phprpc 使用实例（同时有Java、Android和Delphi客户端的例子）
15. 正确openvSwitch不同种类port认识
16. css3 3d旋转动画
17. MySQL binlog 查看信息
18. 计算机学院大学生程序设计竞赛（2015’12） 1005 Bitwise Equations
19. 【Xilinx-Petalinux学习】-01-开发环境搭建与PetaLinux的安装
20. 【DG】[三思笔记]一步一步学DataGuard

热门文章

1. 【经验总结】VSCode中找不到numpy/matplotlib/pillow，navigator没了
2. 计算机视觉3-> yolov5目标检测1 |从入门到出土
3. redis如何避免释放锁时把别人的锁释放掉
4. golang中文件和路径用法
5. ansible roles实践——服务器初始化
6. macOS Monterey 12.12.2 (21D49) 正式版 ISO、IPSW、PKG 下载
7. python网络爬虫-解析网页（六）
8. C++ STL：std::unorderd_map 物理结构详解
9. 《Effective TypeScript》条款22 - 类型收缩
10. React Transition css动画案例解析