突發(fā)!Spring Cloud 爆高危漏洞..趕緊修復(fù)!!
點(diǎn)擊關(guān)注公眾號(hào),Java干貨及時(shí)送達(dá)
Spring Cloud 突發(fā)漏洞
大家好,我是棧長。
Log4j2 的核彈級(jí)漏洞剛告一段落,Spring Cloud Gateway 又突發(fā)高危漏洞,又得折騰了。。。
昨天棧長也看到了一些安全機(jī)構(gòu)發(fā)布的相關(guān)漏洞通告,Spring Cloud 官方博客也發(fā)布了高危漏洞聲明:
Spring Cloud 中的 Spring Cloud Gateway 組件被爆出了兩個(gè)安全漏洞。
“Spring Cloud Gateway 是 Spring Cloud 的第二代網(wǎng)關(guān)組件,是 Spring Cloud Finchley 版推出來的新組件,用來代替第一代服務(wù)網(wǎng)關(guān):Zuul。
Spring Cloud Gateway 的主要作用是:為微服務(wù)架構(gòu)提供一種簡單、有效、統(tǒng)一的 API 路由管理方式。
具體可以參考:Spring Cloud Gateway VS Zuul 比較,怎么選擇?
”
漏洞1:
| CVE-2022-22947 | 遠(yuǎn)程代碼執(zhí)行漏洞 |
|---|---|
| 影響組件 | Spring Cloud Gateway |
| 受影響版本 | - 3.1.0 - 3.0.0 ~ 3.0.6 - 其他不再維護(hù)的舊版本 |
| 漏洞危害等級(jí) | 高危 |
當(dāng) Spring Cloud Gateway Actuator 端點(diǎn)被啟用和暴露時(shí),使用 Spring Cloud Gateway 的應(yīng)用程序會(huì)存在遠(yuǎn)程代碼注入攻擊的風(fēng)險(xiǎn),即攻擊者可以遠(yuǎn)程發(fā)出惡意攻擊請(qǐng)求,允許在遠(yuǎn)程服務(wù)器上進(jìn)行任意代碼執(zhí)行。
漏洞2:
| CVE-2022-22946 | HTTP2 不安全的 TrustManager |
|---|---|
| 影響組件 | Spring Cloud Gateway |
| 受影響版本 | 3.1.0 |
| 漏洞危害等級(jí) | 中等 |
Spring Cloud Gateway 如果配置并啟用 HTTP2,且未設(shè)置密鑰存儲(chǔ)或受信任證書,這樣 Spring Cloud Gateway 就能被無效或自定義的證書連接到遠(yuǎn)程服務(wù)。
另外,如果你想關(guān)注和學(xué)習(xí)最新、最主流的 Java 技術(shù),棧長會(huì)持續(xù)分享,可以持續(xù)關(guān)注公眾號(hào)Java技術(shù)棧,公眾號(hào)第一時(shí)間推送。
解決方案
1、升級(jí)版本
Spring Cloud 2021.0.x 用戶可以把主版本升級(jí)到 Spring Cloud 2021.0.1,Spring Cloud Gateway 已升級(jí)到了 3.1.1。
“這個(gè)在前幾天的《新年首發(fā)!Spring Cloud 2021.0.1 發(fā)布》最新版本發(fā)布時(shí),我并沒有看到修復(fù)這個(gè)高危漏洞的說明,昨天官方博客發(fā)了這個(gè)漏洞通告又含在這個(gè)版本中,這就有點(diǎn)摸不到頭腦了。。
”
Spring Cloud 2020.0.x 用戶可以自行升級(jí)到 Spring Cloud Gateway 3.0.7。
其他不再維護(hù)的老版本也有漏洞,只是官方不再維護(hù)了,是否可自己升級(jí),兼容性不得而知。
2、臨時(shí)方案(僅限第1個(gè)漏洞)
這個(gè)臨時(shí)方案僅限第 1 個(gè)漏洞,第二個(gè)漏洞只能升級(jí) Spring Cloud 主版本。
如果不需要用到 Gateway actuator 端點(diǎn),可通過以下配置禁用:
“management.endpoint.gateway.enabled: false
”
如果需要 Gateway actuator 端點(diǎn),則應(yīng)使用 Spring Security 對(duì)其進(jìn)行防護(hù),可參考以下網(wǎng)址:
“https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security
”
總結(jié)
Spring Cloud Gateway 這兩個(gè)漏洞還挺重要的,特別是第一個(gè)遠(yuǎn)程代碼執(zhí)行,特別危險(xiǎn),自行檢查,廢話不多說了,如果有涉及到的,盡快修復(fù)保平安。
學(xué) Spring Cloud 必須先掌握 Spring Boot,如果你還沒用過 Spring Boot,今天我就送你一份 《Spring Boot 學(xué)習(xí)筆記》這個(gè)很全了,包括底層實(shí)現(xiàn)原理及代碼實(shí)戰(zhàn),非常齊全,助你快速打通 Spring Boot 的各個(gè)環(huán)節(jié)。
Spring Boot 理論和實(shí)戰(zhàn)源碼倉庫:
“https://github.com/javastacks/spring-boot-best-practice
”
最后,如果你想關(guān)注和學(xué)習(xí)最新、最主流的 Java 技術(shù),可以持續(xù)關(guān)注公眾號(hào)Java技術(shù)棧,公眾號(hào)第一時(shí)間推送。
參考資料:
https://spring.io/blog/2022/03/01/spring-cloud-gateway-cve-reports-publishedhttps://tanzu.vmware.com/security/cve-2022-22947“版權(quán)聲明: 本文系公眾號(hào) "Java技術(shù)棧" 原創(chuàng),原創(chuàng)實(shí)屬不易,轉(zhuǎn)載、引用本文內(nèi)容請(qǐng)注明出處,抄襲者一律舉報(bào)+投訴,并保留追究其法律責(zé)任的權(quán)利。
”
23 種設(shè)計(jì)模式實(shí)戰(zhàn)(很全)
換掉 Log4j2!tinylog 橫空出世再見單身狗!Java 創(chuàng)建對(duì)象的 6 種方式勁爆!Java 協(xié)程要來了!
重磅官宣:Redis 對(duì)象映射框架來了!!別再寫爆爆爆炸類了,試試裝飾器模式!程序員精通各種技術(shù)體系,45歲求職難!
Spring Boot 3.0 M1 發(fā)布,正式棄用 Java 8Spring Boot 學(xué)習(xí)筆記,這個(gè)太全了!
關(guān)注Java技術(shù)棧看更多干貨
獲取 Spring Boot 實(shí)戰(zhàn)筆記!