领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2022-31684:Reactor Netty HTTP 服务器可能记录请求头
描述
Reactor Netty HTTP服务器在1.0.11至1.0.23版本中,在某些无效HTTP请求的情况下,可能会记录请求头。被记录的请求头可能会向有权访问服务器日志的人员泄露有效的访问令牌。这可能只影响启用了WARN级别日志记录的无效HTTP请求。
受影响的 Spring 产品和版本
- Reactor Netty
- 1.0.11至1.0.23
缓解措施
受影响版本的用户应采取以下缓解措施。不使用默认日志级别(ERROR)的1.0.x用户应升级到1.0.24(reactor-bom 2020.0.24)。无需其他步骤。已修复此问题的版本包括
- Reactor Netty
- 1.0.24
参考资料
历史
- 2022-10-19:最初的漏洞报告发布。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略