描述

Spring Cloud Config 的 2.1.x 系列（2.1.2 之前）、2.0.x 系列（2.0.4 之前）、1.4.x 系列（1.4.6 之前）以及更早的不再支持的版本，允许应用程序通过 spring-cloud-config-server 模块提供任意配置文件。恶意用户或攻击者可以通过发送一个特制的 URL 来触发目录遍历攻击。

受影响的 Spring 产品和版本

• Spring Cloud Config 2.1.0 到 2.1.1
• Spring Cloud Config 2.0.0 到 2.0.3
• Spring Cloud Config 1.4.0 到 1.4.5
• 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 2.1.x 用户应升级到 2.1.2
• 2.0.x 用户应升级到 2.0.4
• 1.4.x 用户应升级到 1.4.6
• 旧版本应升级到受支持的分支
• 请注意，spring-cloud-config-server 应仅对需要它的客户端开放内部网络访问，并且应该使用 Spring Security 进行保护。这可以限制此漏洞的暴露范围，仅限于那些有内部网络访问权限和经过适当身份验证的用户。

致谢

此问题由 Vern ([email protected],来自 PingAn Galaxy Lab) 发现并负责任地报告。

参考资料

• https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security'>保护 Spring Cloud Config Server 文档。

历史

2019-04-16: 发布初始漏洞报告。