更进一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2024-38809:Spring Framework 通过条件 HTTP 请求造成 DoS 攻击
描述
从 "If-Match" 或 "If-None-Match" 请求标头解析 ETags 的应用程序容易受到 DoS 攻击。
受影响的 Spring 产品和版本
Spring Framework
- 6.1.0 - 6.1.11
- 6.0.0 - 6.0.22
- 5.3.0 - 5.3.37
- 旧的、不受支持的版本也会受到影响
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响的版本 | 修复版本 | 可用性 |
|---|---|---|
| 6.1.x | 6.1.12 | OSS |
| 6.0.x | 6.0.23 | OSS |
| 5.3.x | 5.3.38 | OSS |
不需要其他缓解措施。
旧的、不受支持的版本的用户可以强制限制 "If-Match" 和 "If-None-Match" 标头的大小,例如通过 Filter。
鸣谢
此问题由 Seokchan Yoon 负责任地报告。
历史
- 2024-08-14:发布初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略