国产激情综合五月久久,人妻少妇91精品一区黑人,亚洲变态欧美另类精品,av资源首页,QQ群僵尸粉,欧美人操B视频免费观看,午夜家庭影院,日本高清久久

程序員的成長(zhǎng)之路

互聯(lián)網(wǎng)/程序員/技術(shù)/資料共享?

閱讀本文大概需要 2.8 分鐘。

來自：網(wǎng)絡(luò)

Spring Cloud 突發(fā)漏洞

Log4j2 的核彈級(jí)漏洞剛告一段落，Spring Cloud Gateway 又突發(fā)高危漏洞，又得折騰了。。。

2022年3月1日，Spring官方發(fā)布了關(guān)于Spring Cloud Gateway的兩個(gè)CVE漏洞，分別為CVE-2022-22946與CVE-2022-22947：

版本/分支/tag：?3.4.X
問題描述

Spring Cloud Gateway 是 Spring Cloud 下的一個(gè)項(xiàng)目，該項(xiàng)目是基于 Spring 5.0、Spring Boot 2.0 和 Project Reactor 等技術(shù)開發(fā)的網(wǎng)關(guān)，它旨在為微服務(wù)架構(gòu)提供一種簡(jiǎn)單有效、統(tǒng)一的 API 路由管理方式。

漏洞1：Spring Cloud Gateway?遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-22947）

3 月 1 日，VMware 官方發(fā)布安全公告，聲明對(duì) Spring Cloud Gateway 中的一處命令注入漏洞進(jìn)行了修復(fù)，漏洞編號(hào)為 CVE-2022-22947：

https://tanzu.vmware.com/security/cve-2022-22947

漏洞描述

使用 Spring Cloud Gateway 的應(yīng)用如果對(duì)外暴露了 Gateway Actuator 端點(diǎn)時(shí)，則可能存在被 CVE-2022-22947 漏洞利用的風(fēng)險(xiǎn)。攻擊者可通過利用此漏洞執(zhí)行 SpEL 表達(dá)式，允許在遠(yuǎn)程主機(jī)上進(jìn)行任意遠(yuǎn)程執(zhí)行。，獲取系統(tǒng)權(quán)限。

影響范圍

漏洞利用的前置條件：

除了 Spring Cloud Gateway 外，程序還用到了 Spring Boot Actuator 組件（它用于對(duì)外提供 /actuator/ 接口）；
Spring 配置對(duì)外暴露 gateway 接口，如 application.properties 配置為：

# 默認(rèn)為truemanagement.endpoint.gateway.enabled=true
# 以逗號(hào)分隔的一系列值，默認(rèn)為 health# 若包含 gateway 即表示對(duì)外提供 Spring Cloud Gateway 接口management.endpoints.web.exposure.include=gateway

漏洞影響的 Spring Cloud Gateway 版本范圍：

Spring Cloud Gateway 3.1.x < 3.1.1
Spring Cloud Gateway 3.0.x < 3.0.7
其他舊的、不受支持的 Spring Cloud Gateway 版本

解決方案

更新升級(jí) Spring Cloud Gateway 到以下安全版本：

Spring Cloud Gateway 3.1.1
Spring Cloud Gateway 3.0.7

或者在不考慮影響業(yè)務(wù)的情況下禁用 Gateway actuator 接口：

在application.properties 中設(shè)置?：

management.endpoint.gateway.enabled 為 false。

漏洞2：CVE-2022-22946：Spring Cloud Gateway HTTP2 不安全的 TrustManager

漏洞描述

使用配置為啟用 HTTP2 且未設(shè)置密鑰存儲(chǔ)或受信任證書的 Spring Cloud Gateway 的應(yīng)用程序?qū)⒈慌渲脼槭褂貌话踩?TrustManager。這使得網(wǎng)關(guān)能夠使用無效或自定義證書連接到遠(yuǎn)程服務(wù)。

影響范圍

Spring Cloud Gateway = 3.1.0

解決方案

官方已經(jīng)發(fā)布安全版本，請(qǐng)升級(jí)到3.1.1+

參考資料

官方已經(jīng)發(fā)布安全版本，請(qǐng)升級(jí)到3.1.1+

https://tanzu.vmware.com/security/cve-2022-22946
https://tanzu.vmware.com/security/cve-2022-22947

推薦閱讀：

稅前110萬(wàn)！

關(guān)于Java 獲取時(shí)間戳的方法，我和同事爭(zhēng)論了半天～

互聯(lián)網(wǎng)初中高級(jí)大廠面試題(9個(gè)G)

內(nèi)容包含Java基礎(chǔ)、JavaWeb、MySQL性能優(yōu)化、JVM、鎖、百萬(wàn)并發(fā)、消息隊(duì)列、高性能緩存、反射、Spring全家桶原理、微服務(wù)、Zookeeper、數(shù)據(jù)結(jié)構(gòu)、限流熔斷降級(jí)......等技術(shù)棧！

?戳閱讀原文領(lǐng)取！? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??朕已閱?

突發(fā)！Spring Cloud 爆高危漏洞。。趕緊修復(fù)！

Spring Cloud 突發(fā)漏洞

漏洞1：Spring Cloud Gateway?遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-22947）

漏洞2：CVE-2022-22946：Spring Cloud Gateway HTTP2 不安全的 TrustManager