【安全通告】Spring 多个产品漏洞风险通告
摘要:
尊敬的腾讯云用户,您好!
腾讯云安全运营中心监测到, Spring官方发布安全通告,披露其多个产品漏洞,漏洞编号CVE-2021-22096、CVE-2021-22047、CVE-2021-22097、CVE-2021-22044。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
CVE-2021-22044(高危):
Spring Cloud OpenFeign 客户端端点暴露漏洞,在 Feign 客户端接口上使用 `@RequestMapping` 注释的应用程序可能会暴露与 `@RequestMapping` 注释的接口方法对应的端点。
CVE-2021-22096(中危):
Spring Framework日志注入漏洞,攻击者可能会使用恶意输入以导致插入额外的日志条目。
CVE-2021-22047(中危):
在一特定情况下,自定义 Spring Data REST 资源可能存在安全绕过问题。
CVE-2021-22097(中危):
Spring-AMQP 远程拒绝服务漏洞。攻击者可构造恶意的java.util.Dictionary 对象,导致应用程序中 100% 的 CPU 使用率。
风险等级
高风险
漏洞风险
可导致绕过某些安全措施等危害
影响版本
CVE-2021-22044:
Spring Cloud OpenFeign 3.0.0 - 3.0.5
Spring Cloud OpenFeign 2.2.0.RELEASE - 2.2.9.RELEASE
CVE-2021-22096:
Spring Framework 5.3.0 - 5.3.10
Spring Framework 5.2.0 - 5.2.17
CVE-2021-22047:
Spring Data REST 3.4.0 - 3.4.13
Spring Data REST 3.5.0 - 3.5.5
CVE-2021-22097:
Spring AMQP 2.2.0 - 2.2.18
Spring AMQP 2.3.0 - 2.3.10
安全版本
CVE-2021-22044:
Spring Cloud OpenFeign > 3.0.5
Spring Cloud OpenFeign > 2.2.10.RELEASE
CVE-2021-22096:
Spring Framework > 5.3.12
Spring Framework > 5.2.18
CVE-2021-22047:
Spring Data REST > 3.4.14
Spring Data REST > 3.5.6
CVE-2021-22097:
Spring AMQP 2.3.11
Spring AMQP 2.2.19
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://tanzu.vmware.com/security/cve-2021-22044
https://tanzu.vmware.com/security/cve-2021-22096
https://tanzu.vmware.com/security/cve-2021-22047
https://tanzu.vmware.com/security/cve-2021-22097