关键词:
点击关注公众号,Java干货及时送达
Spring Cloud 突发漏洞
大家好,我是栈长。
Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway 又突发高危漏洞,又得折腾了。。。
昨天栈长也看到了一些安全机构发布的相关漏洞通告,Spring Cloud 官方博客也发布了高危漏洞声明:
Spring Cloud 中的 Spring Cloud Gateway 组件被爆出了两个安全漏洞。
“Spring Cloud Gateway 是 Spring Cloud 的第二代网关组件,是 Spring Cloud Finchley 版推出来的新组件,用来代替第一代服务网关:Zuul。
Spring Cloud Gateway 的主要作用是:为微服务架构提供一种简单、有效、统一的 API 路由管理方式。
”
漏洞1:
| CVE-2022-22947 | 远程代码执行漏洞 |
|---|---|
| 影响组件 | Spring Cloud Gateway |
| 受影响版本 | - 3.1.0 - 3.0.0 ~ 3.0.6 - 其他不再维护的旧版本 |
| 漏洞危害等级 | 高危 |
当 Spring Cloud Gateway Actuator 端点被启用和暴露时,使用 Spring Cloud Gateway 的应用程序会存在远程代码注入攻击的风险,即攻击者可以远程发出恶意攻击请求,允许在远程服务器上进行任意代码执行。
漏洞2:
| CVE-2022-22946 | HTTP2 不安全的 TrustManager |
|---|---|
| 影响组件 | Spring Cloud Gateway |
| 受影响版本 | 3.1.0 |
| 漏洞危害等级 | 中等 |
Spring Cloud Gateway 如果配置并启用 HTTP2,且未设置密钥存储或受信任证书,这样 Spring Cloud Gateway 就能被无效或自定义的证书连接到远程服务。
另外,如果你想关注和学习最新、最主流的 Java 技术,栈长会持续分享,可以持续关注公众号Java技术栈,公众号第一时间推送。
解决方案
1、升级版本
Spring Cloud 2021.0.x 用户可以把主版本升级到 Spring Cloud 2021.0.1,Spring Cloud Gateway 已升级到了 3.1.1。
“这个在前几天的《新年首发!Spring Cloud 2021.0.1 发布》最新版本发布时,我并没有看到修复这个高危漏洞的说明,昨天官方博客发了这个漏洞通告又含在这个版本中,这就有点摸不到头脑了。。
”
Spring Cloud 2020.0.x 用户可以自行升级到 Spring Cloud Gateway 3.0.7。
其他不再维护的老版本也有漏洞,只是官方不再维护了,是否可自己升级,兼容性不得而知。
2、临时方案(仅限第1个漏洞)
这个临时方案仅限第 1 个漏洞,第二个漏洞只能升级 Spring Cloud 主版本。
如果不需要用到 Gateway actuator 端点,可通过以下配置禁用:
“management.endpoint.gateway.enabled: false
”
如果需要 Gateway actuator 端点,则应使用 Spring Security 对其进行防护,可参考以下网址:
“https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security
”
总结
Spring Cloud Gateway 这两个漏洞还挺重要的,特别是第一个远程代码执行,特别危险,自行检查,废话不多说了,如果有涉及到的,尽快修复保平安。
学 Spring Cloud 必须先掌握 Spring Boot,如果你还没用过 Spring Boot,今天我就送你一份 《Spring Boot 学习笔记》这个很全了,包括底层实现原理及代码实战,非常齐全,助你快速打通 Spring Boot 的各个环节。
Spring Boot 理论和实战源码仓库:
“https://github.com/javastacks/spring-boot-best-practice
”
最后,如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。
参考资料:
https://spring.io/blog/2022/03/01/spring-cloud-gateway-cve-reports-published
https://tanzu.vmware.com/security/cve-2022-22947
“版权声明: 本文系公众号 "Java技术栈" 原创,原创实属不易,转载、引用本文内容请注明出处,抄袭者一律举报+投诉,并保留追究其法律责任的权利。
”
Spring Boot 3.0 M1 发布,正式弃用 Java 8
关注Java技术栈看更多干货
获取 Spring Boot 实战笔记!
突发!log4j爆“核弹级”漏洞,flink等项目受影响,提供flink解决方法,赶紧修!...(代码片段)
昨天,你应急了吗? 昨晚,对很多程序员来说可能是一个不眠之夜。12月10日凌晨,Apache开源项目Log4j的远程代码执行漏洞细节被公开,由于Log4j的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。据... 查看详情
突发。。apachelog4j2报核弹级漏洞。。赶紧修复。。
ApacheLog4j2报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,昨晚你睡了吗??ApacheLog4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j1.x基础上提供了Logback中可用... 查看详情
突发!apachelog4j2报核弹级漏洞。。赶紧修复!!
点击关注公众号,Java干货及时送达ApacheLog4j2报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,昨晚你睡了吗??ApacheLog4j2是一个基于Java的日志记录工具,是Log4j的升级,在... 查看详情
springcloudgateway突发高危漏洞,下一代云原生网关恰逢其时?
简介:Log4j2的漏洞刚告一段落,Spring官方在2022年3月1日发布了SpringCloudGateway的两个CVE漏洞:分别为CVE-2022-22946(严重性:Medium)与CVE-2022-22947(代码注入漏洞,严重性:Critical) 查看详情
有高危漏洞必须得修复吗?不修复怎么样?啥算是高危漏洞
这个高危漏洞是由微软或者360判断的,一般应该修复。如果不修复可能造成系统紊乱甚至崩溃。参考技术A是的,因为及时修复漏洞可以增强电脑的安全。建议您使用腾讯电脑管家,通过工具箱中的修复漏洞功能即可。腾讯电脑... 查看详情
如何修复 NPM 高危漏洞? (污染)
】如何修复NPM高危漏洞?(污染)【英文标题】:HowtofixNPMhighseverityvulnerabilities?(Pollution)【发布时间】:2021-06-3004:13:41【问题描述】:我想安装一些npm包,但总是遇到同样的错误“3个高危漏洞”当我按下npm审计修复时我总是这样... 查看详情
zabbix爆高危sql注入漏洞,可获系统权限(profileidx2参数)
漏洞概述zabbix是一个开源的企业级性能监控解决方案。近日,zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。&n... 查看详情
高危漏洞修复不了怎么办
失败的原因主要有:1、部分补丁需要重新启动计算机才会真正生效。解决办法:重新启动计算机。2、缺少必要的文件会导致MS-Office漏洞修复失败。这可能是软件本身安装不完整,或某些文件已被删除。解决办法:重新安装Office... 查看详情
谷歌公布安卓系统高危漏洞,这个漏洞会对安卓用户有啥影响?
安卓被爆高危漏洞,目前消息称:受此漏洞危害的保守估计有18款机型,其中包括小米华为等国内厂商在内,包括四种不同的Pixel手机。攻击者可利用Android系统的zero-dayvulnerability(零日漏洞)进行攻击,或有手机被“操控者”完... 查看详情
php安全漏洞怎么修复
...,还可以自动修复漏洞:第一时间发现并修复系统存在的高危漏洞,在不打扰您的情况下自动为系统打上漏洞补丁,轻轻松松将病毒木马拒之门外。自动修复漏洞电脑管家可以在发现高危漏洞(仅包括高危漏洞,不包括其它漏洞... 查看详情
宝塔漏洞xss窃取宝塔面板管理员漏洞高危
宝塔漏洞XSS窃取宝塔面板管理员漏洞高危分类专栏:网站安全网站被篡改网站被黑如何防止网站被侵入如何防止网站被黑网站安全服务如何防止网站被挂马网站安全维护网站安全防护服务网站安全问题怎么查找网站漏洞网站后门... 查看详情
为啥说addjavascriptinterface漏洞
...,还可以自动修复漏洞:第一时间发现并修复系统存在的高危漏洞,在不打扰您的情况下自动为系统打上漏洞补丁,轻轻松松将病毒木马拒之门外。自动修复漏洞电脑管家可以在发现高危漏洞(仅包括高危漏洞,不包括其它漏洞... 查看详情
高危windows系统smb/rdp远程命令执行漏洞手工修复办法
1、WindowsUpdate更新补丁方式:更新方法:点击“开始”->“控制面板”->“WindowsUpdate”,点击“检查更新”-“安装更新”: 2、检查安装结果:点击“查看更新历史记录”,检查安装的补丁:3、重启系统生效漏洞参考:... 查看详情
突发!log4j爆“核弹级”漏洞,flinkkafka等至少十多个项目受影响
点击机器学习算法与Python学习,选择加星标精彩内容不迷路本文来自InfoQ昨晚,对很多程序员来说可能是一个不眠之夜。12月10日凌晨,Apache开源项目Log4j的远程代码执行漏洞细节被公开,由于Log4j的广泛使用,... 查看详情
突发!log4j爆“核弹级”漏洞,flinkkafka等至少十多个项目受影响
作者|褚杏娟 这两天,你熬夜应急了吗? 昨晚,对很多程序员来说可能是一个不眠之夜。12月10日凌晨,Apache开源项目Log4j的远程代码执行漏洞细节被公开,由于Log4j的广泛使用,该漏洞一旦被攻击者利... 查看详情
如何临时规避安全扫描的高危漏洞
信息中心对机房服务器进行安全扫描,短期内如何规避高危漏洞,在不影响线上业务的情况下通过安全扫描?问题及风险描述系统进行安全扫描,扫描出windous服务器和linux服务器皆存在高危漏洞。需要在短时间内进行修复,并且... 查看详情
突发!spring也沦陷了。。。
...2的核弹级漏洞刚告一段落,这个月初SpringCloudGateway又突发高危漏洞,现在连最要命的Spring框架也沦陷了。。。今天看到了一些安全机构发布的相关漏洞通告,Spring官方博客也发布了漏洞声明:漏洞描述:用户... 查看详情
linuxglibc漏洞修复需要重启吗
...置开启自动修复漏洞功能,开启后,电脑管家可以在发现高危漏洞(仅包括高危漏洞,不包括其它漏洞)时,第一时间自动进行修复,无需用户参与,最大程度保证用户电脑安全。尤其适合老人、小孩或计算机初级水平用户使用... 查看详情