Spring Security 建议

CVE-2020-5403：Reactor Netty HTTP 服务器通过畸形 URL 导致拒绝服务

中等 | 2020 年 2 月 27 日 | CVE-2020-5403

描述

Reactor Netty HttpServer 的 0.9.3 和 0.9.4 版本存在 URISyntaxException 漏洞，该漏洞会导致连接过早关闭，而不是返回 400 响应。

受影响的 Spring 产品和版本

Reactor Netty
- 0.9.3
- 0.9.4

缓解措施

受影响版本的用户应升级到 0.9.5 (reactor-bom Dysprosium SR-5)。无需采取其他措施。

Reactor Netty
- 0.9.5

致谢

此问题由 Wojciech Kuranowski 发现并负责任地报告。

参考资料

https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

历史

2020-02-27：首次发布漏洞报告。

报告漏洞

要报告 Spring 组合项目中存在的安全漏洞，请参阅安全策略

© . This site is unofficial and not affiliated with VMware.