描述

Reactor Netty HttpClient 的 0.9.x 版本（0.9.5 之前）和 0.8.x 版本（0.8.16 之前）可能被不当使用，导致在重定向到不同域时发生凭证泄露。要发生这种情况，HttpClient 必须被显式配置为跟随重定向。

受影响的 Spring 产品和版本

• Reactor Netty
  • 0.9 到 0.9.4
  • 0.8 到 0.8.15

缓解措施

受影响版本的用户应采取以下缓解措施：0.9.x 用户应升级到 0.9.5（reactor-bom Dysprosium SR-5），0.8.x 用户应升级到 0.8.16（reactor-bom Californium SR-16）。注意：Reactor Netty 0.9.5 和 0.8.16 依赖于 Netty 4.1.45+。Spring Boot 应用程序应升级到 2.2.5 或 2.1.13 以使用上述版本。无需其他步骤。在某些情况下，升级后，应用程序可能会在重定向到不同域后出现身份验证失败。如果发生这种情况，应用程序可能需要显式配置 Reactor Netty HttpClient 的重定向请求处理程序。已修复此问题的版本包括

• Reactor Netty
  • 0.8.16
  • 0.9.5

致谢

此问题由 Volkswagen Group IT Services GmbH 的 Ludwig Bedacht 和 Daniel Spruth 发现并负责任地报告。

参考资料

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:L/A:N

历史

• 2020-02-27：初始漏洞报告发布。