领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring 安全公告
CVE-2024-38807:Spring Boot 加载程序中的签名伪造漏洞
描述
使用spring-boot-loader或spring-boot-loader-classic并包含执行嵌套 jar 文件签名验证的自定义代码的应用程序可能容易受到签名伪造的攻击,其中看起来已由一个签名者签名的内容实际上已由另一个签名者签名。
受影响的 Spring 产品和版本
Spring Boot
- 2.7.0 - 2.7.21
- 3.0.0 - 3.0.16
- 3.1.0 - 3.1.12
- 3.2.0 - 3.2.8
- 3.3.0 - 3.3.2
缓解措施
受影响版本的使用者应升级到相应的已修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 2.7.x | 2.7.22 | 仅限企业支持 |
| 3.0.x | 3.0.17 | 仅限企业支持 |
| 3.1.x | 3.1.13 | 仅限企业支持 |
| 3.2.x | 3.2.9 | 开源 |
| 3.3.x | 3.3.3 | 开源 |
致谢
该问题由游宇凡发现并负责任地报告。
参考资料
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略