1. 首页>
  2. 资讯中心

【安全通告】Spring 多个产品漏洞风险通告

腾讯云 2021年10月29日 浏览1022

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云用户,您好!

 

腾讯云安全运营中心监测到, Spring官方发布安全通告,披露其多个产品漏洞,漏洞编号CVE-2021-22096、CVE-2021-22047、CVE-2021-22097、CVE-2021-22044。

 

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

 

漏洞详情

CVE-2021-22044(高危):
Spring Cloud OpenFeign 客户端端点暴露漏洞,在 Feign 客户端接口上使用 `@RequestMapping` 注释的应用程序可能会暴露与 `@RequestMapping` 注释的接口方法对应的端点。

CVE-2021-22096(中危):
Spring Framework日志注入漏洞,攻击者可能会使用恶意输入以导致插入额外的日志条目。

CVE-2021-22047(中危):
在一特定情况下,自定义 Spring Data REST 资源可能存在安全绕过问题。

CVE-2021-22097(中危):
Spring-AMQP 远程拒绝服务漏洞。攻击者可构造恶意的java.util.Dictionary 对象,导致应用程序中 100% 的 CPU 使用率。

 

风险等级

高风险

 

漏洞风险

可导致绕过某些安全措施等危害

 

影响版本

CVE-2021-22044:
Spring Cloud OpenFeign 3.0.0 - 3.0.5
Spring Cloud OpenFeign 2.2.0.RELEASE - 2.2.9.RELEASE

CVE-2021-22096:
Spring Framework 5.3.0 - 5.3.10
Spring Framework 5.2.0 - 5.2.17

CVE-2021-22047:
Spring Data REST 3.4.0 - 3.4.13
Spring Data REST 3.5.0 - 3.5.5

CVE-2021-22097:
Spring AMQP 2.2.0 - 2.2.18
Spring AMQP 2.3.0 - 2.3.10

 

安全版本

CVE-2021-22044:
Spring Cloud OpenFeign > 3.0.5
Spring Cloud OpenFeign > 2.2.10.RELEASE

CVE-2021-22096:
Spring Framework > 5.3.12
Spring Framework > 5.2.18

CVE-2021-22047:
Spring Data REST > 3.4.14
Spring Data REST > 3.5.6

CVE-2021-22097:
Spring AMQP 2.3.11
Spring AMQP 2.2.19

 

修复建议

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

 

【备注】:建议您在升级前做好数据备份工作,避免出现意外

 

漏洞参考

https://tanzu.vmware.com/security/cve-2021-22044
https://tanzu.vmware.com/security/cve-2021-22096
https://tanzu.vmware.com/security/cve-2021-22047
https://tanzu.vmware.com/security/cve-2021-22097

相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013