Spring 安全公告

RSS feed

CVE-2020-5403:Reactor Netty HTTP 服务器存在因格式错误的 URL 导致的 DoS 漏洞

MEDIUM | 2020 年 2 月 27 日 | CVE-2020-5403

描述

Reactor Netty HttpServer 0.9.3 和 0.9.4 版本存在 URISyntaxException 漏洞,该漏洞会导致连接过早关闭,而不是生成 400 响应。

受影响的 Spring 产品和版本

  • Reactor Netty
    • 0.9.3
    • 0.9.4

缓解措施

受影响版本的用户应升级到 0.9.5 (reactor-bom Dysprosium SR-5)。无需其他步骤。

  • Reactor Netty
    • 0.9.5

鸣谢

此问题由 Wojciech Kuranowski 发现并负责任地报告。

参考

历史

  • 2020-02-27:发布初始漏洞报告。

报告漏洞

要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,以加速您的进步。

了解更多

获得支持

Tanzu Spring 在一个简单的订阅中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部