Spring 安全公告

所有公告

CVE-2020-5403:Reactor Netty HTTP 服务器中通过格式错误的 URL 导致拒绝服务

中级 | 2020年2月27日 | CVE-2020-5403

描述

Reactor Netty HttpServer 0.9.3 和 0.9.4 版本存在 URISyntaxException 漏洞,导致连接过早关闭,而不是返回 400 响应。

受影响的 Spring 产品和版本

  • Reactor Netty
    • 0.9.3
    • 0.9.4

缓解措施

受影响版本的使用者应升级到 0.9.5(reactor-bom Dysprosium SR-5)。无需执行其他步骤。

  • Reactor Netty
    • 0.9.5

致谢

此问题由 Wojciech Kuranowski 发现并负责任地报告。

参考

历史记录

  • 2020-02-27:发布初始漏洞报告。

报告漏洞

要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,助您快速提升技能。

了解更多

获取支持

Tanzu Spring 通过一个简单的订阅提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部