【安全通告】Spring Cloud Config Server 目录遍历漏洞通告(CVE-2020-5410)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Spring Cloud Config官方发布了 Spring Cloud Config Server 目录遍历的风险通告(漏洞编号为 CVE-2020-5410),远程攻击者可以通过发送一个特殊构造的HTTP请求,造成任意文件读取。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Spring Cloud Config项目是一个解决分布式系统的配置管理方案,为分布式系统中的外部配置提供服务器和客户端支持。
该漏洞由于Spring Cloud Config Server模块处理目录遍历序列时存在输入验证错误而导致,远程攻击者可以通过发送一个特殊构造的HTTP请求,造成任意文件读取。
风险等级
中风险
漏洞风险
攻击者可发送一个特殊构造的HTTP请求,读取任意文件
影响版本
Spring Cloud Config: 2.2.0 到 2.2.2
Spring Cloud Config: 2.1.0 到 2.1.8
修复版本
Spring Cloud Config: 2.2.3
Spring Cloud Config: 2.1.9
修复建议
官方已发布漏洞修复更新,腾讯云安全建议您:
1)升级到 Spring Cloud Config 至【修复版本】;新版本下载地址:https://github.com/spring-cloud/spring-cloud-config/releases
2)将Spring-Cloud-Config-Server服务放置在内网中,同时使用Spring Security进行身份验证。
漏洞参考
1)官方安全通告:https://tanzu.vmware.com/security/cve-2020-5410