领先一步
VMware提供培训和认证,以快速提升您的进度。
了解更多Spring Security 安全公告
CVE-2023-34053:Spring框架服务器Web观察拒绝服务漏洞
描述
在Spring框架6.0.0-6.0.13版本中,用户可能提供特制的HTTP请求,从而导致拒绝服务(DoS)条件。
具体来说,当满足以下所有条件时,应用程序易受攻击
- 应用程序使用Spring MVC或Spring WebFlux
io.micrometer:micrometer-core位于类路径中- 在应用程序中配置ObservationRegistry以记录观察结果
通常,Spring Boot应用程序需要org.springframework.boot:spring-boot-actuator依赖项才能满足所有条件。
受影响的Spring产品和版本
Spring框架
- 6.0.0到6.0.13
较旧的版本不受影响。
缓解措施
受影响版本的使用者应应用以下缓解措施。
- Spring Framework 6.0.x用户应升级到6.0.14。
无需其他步骤。
作为临时解决方法,Spring Boot 3.0.x和3.1.x用户可以选择使用以下属性禁用Web框架观察:management.metrics.enable.http.server.requests=false
致谢
该问题由James Yuzawa发现并负责报告。
参考资料
报告漏洞
要报告Spring产品组合中项目的安全漏洞,请参阅安全策略