突發(fā)！Spring Cloud 爆高危漏洞。。趕緊修復(fù)！！

Spring Cloud 突發(fā)漏洞

Log4j2 的核彈級漏洞剛告一段落，Spring Cloud Gateway 又突發(fā)高危漏洞，又得折騰了。。。

2022年3月1日，Spring官方發(fā)布了關(guān)于Spring Cloud Gateway的兩個CVE漏洞，分別為CVE-2022-22946與CVE-2022-22947：

版本/分支/tag：?3.4.X
問題描述

使用 Spring Cloud Gateway 的應(yīng)用如果對外暴露了 Gateway Actuator 端點時，則可能存在被 CVE-2022-22947 漏洞利用的風(fēng)險。攻擊者可通過利用此漏洞執(zhí)行 SpEL 表達式，允許在遠程主機上進行任意遠程執(zhí)行。，獲取系統(tǒng)權(quán)限。

漏洞利用的前置條件：

# 默認(rèn)為truemanagement.endpoint.gateway.enabled=true
# 以逗號分隔的一系列值，默認(rèn)為 health# 若包含 gateway 即表示對外提供 Spring Cloud Gateway 接口management.endpoints.web.exposure.include=gateway

更新升級 Spring Cloud Gateway 到以下安全版本：

或者在不考慮影響業(yè)務(wù)的情況下禁用 Gateway actuator 接口：

在application.properties 中設(shè)置?：

management.endpoint.gateway.enabled 為 false。

漏洞2：CVE-2022-22946：Spring Cloud Gateway HTTP2 不安全的 TrustManager

• https://tanzu.vmware.com/security/cve-2022-22946
  
• https://tanzu.vmware.com/security/cve-2022-22947

如果本文對你有幫助的話，請不要吝嗇你的贊，謝謝！

（完）

PS：如果覺得我的分享不錯，歡迎大家隨手點贊、在看。
?關(guān)注公眾號：Java后端編程，回復(fù)下面關(guān)鍵字?

要Java學(xué)習(xí)完整路線，回復(fù)??路線?
缺Java入門視頻，回復(fù)：?視頻?
要Java面試經(jīng)驗，回復(fù)??面試?
缺Java項目，回復(fù)：?項目?
進Java粉絲群：?加群?

PS：如果覺得我的分享不錯，歡迎大家隨手點贊、在看。
（完）




加我"微信"?獲取一份 最新Java面試題資料
請備注：666，不然不通過～

最近好文

1、再見了，收費的XShell，我改用國產(chǎn)良心工具！
2、給IDEA換個酷炫的主題，真的太好看了！
3、SpringBoot快速開發(fā)利器：Spring Boot CLI
4、基于SpringBoot 的CMS系統(tǒng)，拿去開發(fā)企業(yè)官網(wǎng)
5、本機號碼一鍵登錄原理與應(yīng)用


最近面試BAT，整理一份面試資料《Java面試BAT通關(guān)手冊》，覆蓋了Java核心技術(shù)、JVM、Java并發(fā)、SSM、微服務(wù)、數(shù)據(jù)庫、數(shù)據(jù)結(jié)構(gòu)等等。
獲取方式：關(guān)注公眾號并回復(fù)?java?領(lǐng)取，更多內(nèi)容陸續(xù)奉上。
明天見(??ω??)??