Spring 博客

所有帖子
工程
发布
新闻和事件

Spring Integration Zip 1.0.4 & CVE-2021-22114

发布 | Artem Bilan | 2021 年 3 月 1 日 | ...

亲爱的 Spring 社区:

我谨代表团队和所有贡献者,很高兴地宣布 Spring Integration Zip 扩展的 1.0.4.RELEASE 版本。

CVE-2021-22114

UnZipTransformer 未能涵盖 Zip Slip 漏洞的所有情况,某些特定的 zip 条目名称仍可能导致文件被解压到工作目录之外。

已在 spring-integration-zip-1.0.4.RELEASE 版本中发布了更新的修复程序,同时还包含其他一些 bug 修复和改进。我们还为 CVE-2021-22114 发布了新的公告。

鸣谢:Trung Pham,Viettel Cyber Security。

我们鼓励所有使用 Spring Integration Zip 解压功能的开发者相应地进行升级。

祝好, 
Artem

项目主页 | GitHub 问题 | 贡献指南 | 求助 | 聊天

获取 Spring 新闻通讯

通过 Spring 新闻通讯保持联系

订阅

领先一步

VMware 提供培训和认证,助您加速进步。

了解更多

获得支持

Tanzu Spring 提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件,只需一份简单的订阅。

了解更多

即将举行的活动

查看 Spring 社区所有即将举行的活动。

查看所有