Spring 安全公告

所有公告

CVE-2022-31684:Reactor Netty HTTP 服务器可能记录请求头

| 2022年10月19日 | CVE-2022-31684

描述

Reactor Netty HTTP 服务器在 1.0.11 - 1.0.23 版本中,在某些无效 HTTP 请求的情况下可能会记录请求头。记录的请求头可能会泄露有效访问令牌给那些可以访问服务器日志的人。这可能仅影响在启用 WARN 级别日志记录的无效 HTTP 请求。

受影响的 Spring 产品和版本

  • Reactor Netty
    • 1.0.11 至 1.0.23

缓解措施

受影响版本的使用者应应用以下缓解措施。1.0.x 用户如果未使用默认日志级别(ERROR),则应升级到 1.0.24(reactor-bom 2020.0.24)。无需其他步骤。已修复此问题的版本包括

  • Reactor Netty
    • 1.0.24

参考

历史

  • 2022-10-19:发布初始漏洞报告。

报告漏洞

要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,帮助您加速进步。

了解更多

获取支持

Tanzu Spring 在一个简单的订阅中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部