Spring Cloud Gateway现高风险漏洞,建议采取措施加强防护

Posted 程序猿DD

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring Cloud Gateway现高风险漏洞,建议采取措施加强防护相关的知识,希望对你有一定的参考价值。

大家好,我是DD

3月1日,Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告。

其中包含一个高风险漏洞和一个中风险漏洞,建议有使用Spring Cloud Gateway的用户及时升级版本到3.1.1+、3.0.7+或采用其他缓解方法加强安全防护。

有涉及的小伙伴可以看看下面具体这两个漏洞的内容和缓解方法。

CVE-2022-22947:代码注入漏洞

严重性:Critical

漏洞描述:使用Spring Cloud Gateway的应用程序在Actuator端点在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可以恶意创建允许在远程主机上执行任意远程执行的请求。

影响范围

Spring Cloud Gateway以下版本均受影响:

  • 3.1.0
  • 3.0.0至3.0.6
  • 其他老版本

缓解方法

受影响版本的用户可以通过以下措施补救。

  • 3.1.x用户应升级到3.1.1+
  • 3.0.x用户应升级到3.0.7+
  • 如果不需要Actuator端点,可以通过management.endpoint.gateway.enable:false配置将其禁用
  • 如果需要Actuator端点,则应使用Spring Security对其进行保护

CVE-2022-22946:HTTP2 Insecure TrustManager

严重性:Medium

漏洞描述:当启用HTTP2,并且没有设置密钥存储或可信证书的应用程序将配置为使用不安全的TrustManager。这使得网关能够使用无效或自定义证书连接到远程服务。

影响范围

Spring Cloud Gateway以下版本受影响:

  • 3.1.0

缓解方法

  • 3.1.x用户升级到3.1.1+

本文首发:Spring Cloud Gateway现高风险漏洞,建议采取措施加强防护,欢迎关注我的博客,分享最前沿的技术资讯。

欢迎关注我的公众号:程序猿DD。前沿技术早知道,弯道超车有希望!积累超车资本,从关注DD开始!

以上是关于Spring Cloud Gateway现高风险漏洞,建议采取措施加强防护的主要内容,如果未能解决你的问题,请参考以下文章

2021-8-17springboot引入网关路由时出现spring-cloud-starter-gateway出错

基于SpEL在Spring Cloud Gateway中实现全维度灰度路由

从spring cloud gateway调用微服务

使用 Spring Cloud Gateway 实现微服务 API 网关

在 Spring Cloud Gateway 中禁止未经身份验证的请求

Spring Cloud 与微服务学习总结(17)—— SpringCloud Gateway API 接口安全设计(加密 签名安全)