各位 Spring 爱好者，大家好！在本期节目中，Josh Long (@starbuxman) 谈论了疫情爆发以来他参加的第一次线下会议——精彩的 Devnexus 2022 大会——并与他的同事、老师、朋友以及 Kubernetes 传奇人物Tiffany Jernigan (@tiffanyfayj) 进行了交谈。

我代表团队和所有贡献者，高兴地宣布 Spring Framework 5.3.19 和 5.2.21 现已可用。

Spring Framework 5.3.19 包含12 项修复和改进。Spring Framework 5.2.21 包含5 项精选修复和改进。

此外，Spring Framework 5.3.19 和 5.2.21 包含针对 CVE-2022-22968: Spring Framework 数据绑定规则漏洞 的修复，建议所有 Spring 生产场景进行升级。

项目主页 | GitHub | 问题 | 文档

目录

• 概览
• 这会影响我的应用程序吗？
• 重新评估您的数据绑定方法

概览

在调查Spring Framework RCE 漏洞 CVE-2022-22965 和建议的临时解决方案时，我们意识到 WebDataBinder 上的 disallowedFields 配置设置并不直观，并且文档也不清晰。我们已经修复了这个问题，但同时也决定稳妥起见，发布一个后续的 CVE，以确保应用程序开发者收到警报并有机会审查他们的配置。

• CVE-2022-22968: Spring Framework 数据绑定规则漏洞

我们已经发布了包含修复的Spring Framework 5.3.19 和 5.2.21。Spring Boot 2.6.7 和 2.…

本周 Spring 要闻 - Devnexus 版

各位 Spring 爱好者，大家好！欢迎来到新一期《本周 Spring 要闻》—— 我正在参加疫情以来的第一次线下活动：Devnexus！太棒了！！从技术上讲，我现在写作时还在旧金山，但我明天就将抵达佐治亚州亚特兰大参加... Devnexus！希望如果您在那里，可以和我联系！

来自 Spring、Tanzu 及周边社区的朋友、同事和社区成员也将在那里！以下是我希望能够合影并希望观看他们演讲的一些人：

• Glenn Renfro
• Adib Saikali
• Joe Grandja
• Whitney Lee
• Hillmer Chona
• Jonatan Ivanov
• Josh Cummings
• Alberto C. Rios
• Simon Brown
…

各位 Spring 爱好者，大家好！在本期精彩播客中，Josh Long (@starbuxman) 与 GraphQL Java 项目创始人兼负责人、Atlassian 工程师、Spring GraphQL 联合创始人 Andi Marek (@andimarek) 进行了交谈。

我代表社区，高兴地宣布 Spring Cloud 2022.0.0 发布序列的里程碑 2 (M2) 今天已可用。该版本可以在 Spring Milestone 仓库中找到。您可以查看 2022.0 的发布说明以获取更多信息。

2022.0.0-M2 发布序列的显著变化

请参阅项目页面，了解此版本中包含的所有问题和拉取请求。

Spring Cloud 2022.0.0-M2 与 Spring Boot 3.0.0-M2 兼容。

Spring Cloud Stream

• Spring Cloud Stream 的 Kafka 和 RabbitMQ 绑定器都已迁移为核心 Spring Cloud Stream 仓库的一部分。通过此更改，Spring Cloud Stream 现在遵循单仓库方法，所有与框架相关的 Spring Cloud Stream 代码库现在都是单个仓库的一部分。有关 Kafka 绑定器的更多详细信息，请参阅此处；有关 RabbitMQ 绑定器的详细信息，请参阅此处。我们建议在核心仓库中提交 Kafka 和 RabbitMQ 绑定器的新功能请求和错误报告。
• 引入了基于 Reactor Kafka 的新响应式 Kafka 绑定器 的初步支持。此支持包含使用 Reactor Kafka 作为后端的消费者和生产者绑定。请参阅此问题…

各位 Spring 爱好者，大家好！欢迎来到新一期《本周 Spring 要闻》！我刚从夏威夷群岛回家。回家感觉真好。

首先要说的是：存在一个安全漏洞。我们已经发布了如何缓解的指南，以及包含了默认缓解措施的 Spring Framework 和 Spring Boot 新版本。有关更多信息，请参阅下面的链接。

• Spring Framework RCE，提前公告
• Spring Framework RCE，缓解方案替代
• 已发布 Spring Cloud Function 的 CVE 报告

现在，回到您通常收听的《本周 Spring 要闻》节目

• 精彩播客：Kubernetes 联合创始人兼 VMware 研发副总裁 Craig McLuckie
• 博客：您的集群准备好迎接 v1.24 了吗？
…

我代表团队和所有贡献者，高兴地宣布 Spring Cloud Dataflow 2.9.4 已发布，现可从 Maven Central 获取。

此版本包含 Spring Boot 版本的更新，并解决了几个 CVE。有关更多信息，请参阅发布说明。

2.9.4 的显著变化

• 更新至 Spring Boot 2.5.12
• 解决 CVE-2022-22965
• 解决 CVE-2021-29425

保持联系…

一如既往，我们欢迎您的反馈和贡献，请在Stackoverflow 或 GitHub 上与我们联系。

昨天，我们公告了 Spring Framework RCE 漏洞 CVE-2022-22965，其中列出 Apache Tomcat 作为几个前置条件之一。Apache Tomcat 团队此后发布了 10.0.20、9.0.62 和 8.5.78 版本，所有这些版本都从 Tomcat 一侧关闭了攻击途径。尽管漏洞本身不在 Tomcat 中，但在实际场景中，能够选择多种升级路径非常重要，这反过来提供了灵活性和分层保护。

升级到 Spring Framework 5.3.18+ 或 5.2.20+ 仍然是我们的主要建议，不仅因为它解决了根本原因……