1. 首页>
  2. 资讯中心

【安全通告】Spring Cloud Config Server 目录遍历漏洞通告(CVE-2020-5410)

腾讯云 2020年06月05日 浏览1381

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到Spring Cloud Config官方发布了 Spring Cloud Config Server 目录遍历的风险通告(漏洞编号为 CVE-2020-5410),远程攻击者可以通过发送一个特殊构造的HTTP请求,造成任意文件读取。

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Spring Cloud Config项目是一个解决分布式系统的配置管理方案,为分布式系统中的外部配置提供服务器和客户端支持。

该漏洞由于Spring Cloud Config Server模块处理目录遍历序列时存在输入验证错误而导致,远程攻击者可以通过发送一个特殊构造的HTTP请求,造成任意文件读取

风险等级

中风险

漏洞风险

攻击者可发送一个特殊构造的HTTP请求,读取任意文件

影响版本

Spring Cloud Config: 2.2.0 到 2.2.2

Spring Cloud Config: 2.1.0 到 2.1.8

修复版本

Spring Cloud Config: 2.2.3


Spring Cloud Config: 2.1.9

修复建议

官方已发布漏洞修复更新,腾讯云安全建议您:

1)升级到 Spring Cloud Config 至【修复版本】;新版本下载地址:https://github.com/spring-cloud/spring-cloud-config/releases

2)将Spring-Cloud-Config-Server服务放置在内网中,同时使用Spring Security进行身份验证。


漏洞参考

1)官方安全通告:https://tanzu.vmware.com/security/cve-2020-5410


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013