描述

在 Spring Boot 版本 3.0.0 - 3.0.6、2.7.0 - 2.7.11、2.6.0 - 2.6.14、2.5.0 - 2.5.14 以及更旧的不受支持的版本中，如果 Spring MVC 与反向代理缓存一起使用，则存在拒绝服务 (DoS) 攻击的潜在风险。

具体来说，如果所有条件都为真，则应用程序容易受到攻击

• 应用程序已启用 Spring MVC 自动配置。 如果 Spring MVC 在类路径上，则默认情况下是这种情况。
• 应用程序使用 Spring Boot 的欢迎页面支持，无论是静态的还是模板化的。
• 您的应用程序部署在缓存 404 响应的代理后面。

如果以下任何条件为真，您的应用程序则不易受到攻击

• Spring MVC 自动配置已禁用。 如果显式排除 WebMvcAutoConfiguration、如果 Spring MVC 不在类路径上，或者如果 spring.main.web-application-type 设置为除 SERVLET 之外的值，则此项为真。
• 应用程序不使用 Spring Boot 的欢迎页面支持。
• 您没有缓存 404 响应的代理。

受影响的 Spring 产品和版本

Spring Boot

3.0.0 到 3.0.6 2.7.0 到 2.7.11 2.6.0 到 2.6.14 2.5.0 到 2.5.14

更旧的，不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 3.0.x 用户应升级到 3.0.7+
• 2.7.x 用户应升级到 2.7.12+
• 2.6.x 用户应升级到 2.6.15+
• 2.5.x 用户应升级到 2.5.15+

较旧的不受支持版本的用户应升级到 3.0.7+ 或 2.7.12+。

解决方法：配置反向代理，使其不缓存 404 响应和/或不缓存对应用程序根目录 (/) 的请求的响应。

鸣谢

Martin van Kervel Smedshammer