描述

在Spring Boot 3.0.0 - 3.0.6、2.7.0 - 2.7.11、2.6.0 - 2.6.14、2.5.0 - 2.5.14版本以及更早的不受支持版本中，如果Spring MVC与反向代理缓存一起使用，则存在潜在的拒绝服务（DoS）攻击风险。

具体来说，如果所有条件都为真，则应用程序易受攻击：

• 应用程序已启用Spring MVC自动配置。如果Spring MVC在类路径中，默认情况下会启用此功能。
• 应用程序使用了Spring Boot的欢迎页支持，无论是静态的还是模板的。
• 您的应用程序部署在会缓存404响应的代理后面。

如果以下任一条件为真，您的应用程序则不易受攻击：

• Spring MVC自动配置被禁用。如果显式排除了WebMvcAutoConfiguration，如果Spring MVC不在类路径中，或者如果spring.main.web-application-type设置为SERVLET以外的值，则此条件为真。
• 应用程序不使用Spring Boot的欢迎页支持。
• 您没有会缓存404响应的代理。

受影响的 Spring 产品和版本

Spring Boot

3.0.0 至 3.0.6 2.7.0 至 2.7.11 2.6.0 至 2.6.14 2.5.0 至 2.5.14

较旧的、不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施：

• 3.0.x 用户应升级到 3.0.7+ 版本
• 2.7.x 用户应升级到 2.7.12+ 版本
• 2.6.x 用户应升级到 2.6.15+ 版本
• 2.5.x 用户应升级到 2.5.15+ 版本

较旧的、不受支持版本的用户应升级到 3.0.7+ 或 2.7.12+ 版本。

解决方法：配置反向代理不缓存404响应和/或不缓存对应用程序根目录 (/) 请求的响应。

致谢

Martin van Kervel Smedshammer