抢先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2022-31684: Reactor Netty HTTP 服务器可能会记录请求头
描述
Reactor Netty HTTP 服务器,版本 1.0.11 - 1.0.23,在某些无效 HTTP 请求的情况下可能会记录请求头。记录的头可能会向可以访问服务器日志的人员泄露有效的访问令牌。这可能只会影响启用了 WARN 级别日志记录的无效 HTTP 请求。
受影响的 Spring 产品和版本
- Reactor Netty
- 1.0.11 到 1.0.23
缓解措施
受影响版本的用户应采取以下缓解措施。不使用默认日志级别(ERROR)的 1.0.x 用户应升级到 1.0.24 (reactor-bom 2020.0.24)。无需其他步骤。已修复此问题的版本包括
- Reactor Netty
- 1.0.24
参考
历史
- 2022-10-19:发布了初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略