抢先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2024-38807:Spring Boot加载器中的签名伪造漏洞
描述
使用 spring-boot-loader 或 spring-boot-loader-classic 并且包含执行嵌套 jar 文件签名验证的自定义代码的应用程序可能会受到签名伪造的攻击。在这种攻击中,看起来由一个签名者签名的内容实际上是由另一个签名者签名的。
受影响的 Spring 产品和版本
Spring Boot
- 2.7.0 - 2.7.21
- 3.0.0 - 3.0.16
- 3.1.0 - 3.1.12
- 3.2.0 - 3.2.8
- 3.3.0 - 3.3.2
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响的版本 | 修复版本 | 可用性 |
|---|---|---|
| 2.7.x | 2.7.22 | 仅企业支持 |
| 3.0.x | 3.0.17 | 仅企业支持 |
| 3.1.x | 3.1.13 | 仅企业支持 |
| 3.2.x | 3.2.9 | OSS |
| 3.3.x | 3.3.3 | OSS |
致谢
此问题由 Yufan You 发现并负责任地报告。
参考
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略