SpringCloud突发漏洞大家好,我是栈长。Log4j2的核弹级漏洞刚刚告一段落,SpringCloudGateway又有一个高危漏洞,又要折腾了。..昨天,栈长还看到了一些安全机构发布的相关漏洞通告,SpringCloud官方博客也发布了高危漏洞声明:SpringCloud中的SpringCloudGateway组件暴露了两个安全漏洞。SpringCloudGateway是SpringCloud的第二代网关组件。是SpringCloudFinchley版本推出的新组件,用于替代第一代服务网关:Zuul。SpringCloudGateway的主要功能是为微服务架构提供一种简单、有效、统一的API路由管理方式。详见:SpringCloudGatewayVSZuul对比,如何选择?漏洞一:CVE-2022-22947远程代码执行漏洞影响组件SpringCloudGateway影响版本-3.1.0-3.0.0~3.0.6-其他不再维护的旧版本在SpringCloud时危害级别高GatewayActuator端点启用并暴露后,使用SpringCloudGateway的应用程序将面临远程代码注入攻击的风险,攻击者可以远程发出恶意攻击请求,允许在远程服务器上执行任意代码。漏洞二:CVE-2022-22946HTTP2不安全TrustManager影响组件SpringCloudGateway影响版本3.1.0漏洞中等危害级别SpringCloudGateway如果配置并启用了HTTP2,并且没有设置密钥存储或可信证书,则SpringCloudGatewayGateway可以使用无效或自定义证书连接到远程服务。另外,如果你想关注和学习最新最主流的Java技术,栈长会持续分享,可以持续关注公众号Java技术栈,公众号会推送为尽快。解决方案1、升级版本SpringCloud2021.0.x用户可以将主版本升级到SpringCloud2021.0.1,SpringCloudGateway已经升级到3.1.1。前几天最新版本的?发布时,我没有看到修复这个高危漏洞的说明。官方博客昨天发布了这个漏洞公告,并将其包含在这个版本中,这有点令人困惑。.SpringCloud2020.0.x用户可自行升级至SpringCloudGateway3.0.7。其他不再维护的旧版本也存在漏洞,但官方不再维护,能否自行升级,兼容性未知。2、临时解决方案(仅限第一个漏洞)本临时解决方案仅限于第一个漏洞,第二个漏洞只能升级SpringCloud主版本。如果不需要使用Gatewayactuatorendpoint,可以通过如下配置禁用:management.endpoint.gateway.enabled:false如果需要Gatewayactuatorendpoint,应该使用SpringSecurity来保护。可以参考以下网址:https://docs.spring.io/spring...总结SpringCloudGateway这两个漏洞比较重要,尤其是第一个远程代码执行,特别危险,自己查一下吧废话不多说,如果涉及,尽快修复,注意安全。学习SpringCloud,首先要掌握SpringBoot。如果你还没有用过SpringBoot,今天就给你发一份《Spring Boot 学习笔记》。这个很全,包括底层实现原理和代码实践。它非常完整,将帮助您快速了解SpringBoot的各个方面。SpringBoot理论与实战源码仓库:https://github.com/javastacks...最后,如果你想关注和学习最新最主流的Java技术,可以持续关注公众号Java技术栈,公众号No.马上推。参考资料:https://spring.io/blog/2022/0...https://tanzu.vmware.com/secu...版权声明:本文为公众号《Java技术栈》原创不易,转载及引用本文内容请注明出处,所有抄袭者将举报+投诉,并保留追究其法律责任的权利。近期热点文章推荐:1.1000+Java面试题及答案(2022最新版)2.厉害了!Java协程来了。..3.SpringBoot2.x教程,太全面了!4.不要用爆破爆满画面,试试装饰者模式,这才是优雅的方式!!5.《Java开发手册(嵩山版)》最新发布,赶快下载吧!感觉不错,别忘了点赞+转发!
