Spring 本周动态 - 2022 年 4 月 5 日
各位 Spring 爱好者,大家好!欢迎阅读新一期的《Spring 本周动态》!我从夏威夷群岛回来了。回家真好。
首先,有一项安全漏洞。我们已经发布了缓解措施指南,以及包含默认缓解措施的 Spring Framework 和 Spring Boot 新版本。更多信息请参阅下方链接。
现在,回到按计划发布的《Spring 本周动态》
Spring Framework RCE,替代缓解措施
昨天,我们宣布了 Spring Framework RCE 漏洞 CVE-2022-22965,其中列出了 Apache Tomcat 作为几个前置条件之一。Apache Tomcat 团队随后发布了版本 10.0.20、9.0.62 和 8.5.78,这些版本都关闭了 Tomcat 方面的攻击向量。虽然该漏洞不在 Tomcat 本身,但在实际情况中,能够从多个升级路径中进行选择非常重要,这反过来提供了灵活性和分层保护。
升级到 Spring Framework 5.3.18+ 或 5.2.20+ 仍然是我们的主要建议,这不仅因为它解决了根本原因…
Spring Tips:勇敢、大胆且“无聊”的 YugabyteDB
各位 Spring 爱好者,大家好!在本期内容中,我们大胆地尝试了“无聊”的 YugabyteDB,它是一个只需运行即可的分布式数据库。它感觉像 PostgreSQL,但可以像 Apache Cassandra 一样扩展。
Spring Framework RCE,早期公告
更新
- [04-13] 发布了名为 "数据绑定规则漏洞 CVE-2022-22968" 的后续博客文章,与 建议的临时解决方案 中的 "disallowedFields" 相关
- [04-08] Snyk 宣布 Glassfish 和 Payara 存在额外的攻击向量。另请参阅相关的 Payara 即将发布的公告
- [04-04] 更新了 我是否受到影响 部分,改进了部署要求的描述
- [04-01] 更新了 我是否受到影响 部分,添加了额外说明
- [04-01] 更新了 Apache Tomcat 升级和 Java 8 降级的 建议的临时解决方案 部分
- [04-01] 发布了名为 "替代缓解措施" 的后续博客文章,宣布 Apache Tomcat 发布了版本 10.0.20、9.0.62 和 8.5.78…
一期 Bootiful 播客:Kubernetes 联合创始人、VMware 研发副总裁 Craig McLuckie
各位 Spring 爱好者,大家好!欢迎收听新一期的 Bootiful 播客!在本期节目中,Josh Long (@starbuxman) 与 Kubernetes 联合创始人、全方位优秀人士、VMware 研发副总裁 Craig McLuckie (@cmcluck) 进行了交流。
Spring Cloud Azure 4.0 现已正式发布
Spring 本周动态 - 2022 年 3 月 29 日
Aloha,各位 Spring 爱好者,来自美丽的夏威夷毛伊岛,我和家人正在这里度假。这是我们女儿的春假,所以我们正在尽可能地享受家庭时光!我想在永远不够的海滩时间和所有朗姆酒之间抽出短暂的空隙,为大家带来本周的内容,所以让我们
Spring Cloud Function 的 CVE 报告已发布
Spring Framework 的 CVE 报告已发布
我们发布了 Spring Framework 5.3.17 和 Spring Framework 5.2.20 版本,以解决以下 CVE 报告。
请查阅 CVE 报告中的信息并立即升级。
Java 17+ 采用情况更新
作为去年 SpringOne 上 我的博客文章 的后续,是时候更新一下我们的 Java 17+ 基线工作了!
我们已在主分支上建立了新的基线,并已发布了一些里程碑版本。反馈非常积极,不仅体现在框架改进方面,还体现在应用层级 Java 升级的动力方面。当然,这不会止步于 JDK 17 LTS:JDK 18 已经是一个即时选项,JDK 19 将在今年晚些时候我们最终发布时成为当前版本,届时 JDK 20 将处于早期访问阶段——JDK 21 LTS 也即将到来…
