抢先一步
VMware 提供培训和认证,以加速您的进度。
了解更多CVE-2022-22946:Spring Cloud Gateway HTTP2 不安全 TrustManager
描述
使用 Spring Cloud Gateway 的应用程序,如果配置为启用 HTTP2 且未设置密钥库或受信任证书,则将被配置为使用不安全的 TrustManager。 这使得网关能够连接到具有无效或自定义证书的远程服务。
受影响的 Spring 产品和版本
- Spring Cloud Gateway
- 3.1.0
缓解措施
受影响版本的用户应应用以下缓解措施。 3.1.x 用户应升级到 3.1.1+。 无需其他步骤。 修复此问题的版本包括
- Spring Cloud Gateway
- 3.1.1+
鸣谢
此漏洞由 BNP Paribas 的 Benjamin Bargeton 发现并负责任地报告。
参考
历史
- 2022-03-01:发布初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略