描述

在 Reactor Netty HTTP 服务器的 1.1.x 版本（低于 1.1.13）和 1.0.x 版本（低于 1.0.39）中，用户可以提供特殊构造的 HTTP 请求，从而可能导致拒绝服务 (DoS) 情况。

具体来说，如果 Reactor Netty HTTP 服务器内置的 Micrometer 集成已启用，则应用程序容易受到攻击。

受影响的 Spring 产品和版本

• Reactor Netty
  • 1.1.0 至 1.1.12
  • 1.0.0 至 1.0.38
  • 以及更早的不受支持的版本

缓解措施

受影响版本的用户应采用以下缓解措施。1.1.x 用户应升级到 1.1.13。1.0.x 用户应升级到 1.0.39。无需其他步骤。

已修复此问题的发布版本包括

• Reactor Netty
  • 1.1.13
  • 1.0.39

作为临时解决方案，Reactor Netty 1.1.x 和 1.0.x 用户可以选择禁用 Reactor Netty HTTP 服务器内置的 Micrometer 集成。

致谢

该问题由 James Yuzawa (https://github.com/yuzawa-san) 发现并负责任地报告。

参考资料

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L&version=3.1