Spring 博客

所有文章
工程
发布
新闻和活动

Spring Integration Zip 1.0.4 & CVE-2021-22114

发布 | Artem Bilan | 2021年3月1日 | ...

亲爱的 Spring 社区:

我谨代表团队和所有做出贡献的人,很高兴地宣布 Spring Integration Zip 扩展的1.0.4.RELEASE版本。

CVE-2021-22114

UnZipTransformer没有涵盖Zip Slip 漏洞的所有情况,某些特定的 zip 条目名称可能仍然会出现在工作目录之外。

更新的修复程序已在spring-integration-zip-1.0.4.RELEASE版本中发布,并包含其他一些错误修复和改进。我们还发布了有关CVE-2021-22114的新公告。

鸣谢:Trung Pham,Viettel 网络安全。

建议所有使用 Spring Integration Zip 中解压缩功能的用户分别进行升级。

此致,
Artem

项目页面 | GitHub 问题 | 贡献 | 帮助 | 聊天

获取 Spring 时事通讯

通过 Spring 时事通讯保持联系

订阅

领先一步

VMware 提供培训和认证,以加速您的进步。

了解更多

获取支持

Tanzu Spring 在一个简单的订阅中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部