领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2024-22233: Spring Framework服务器Web DoS漏洞
描述
在Spring Framework 6.0.15和6.1.2版本中,用户可以提供特殊构造的HTTP请求,这可能导致拒绝服务(DoS)条件。
具体来说,当以下所有情况都为真时,应用程序是易受攻击的
- 应用程序使用Spring MVC
- 类路径中包含Spring Security 6.1.6+或6.2.1+
通常,Spring Boot应用程序需要org.springframework.boot:spring-boot-starter-web和org.springframework.boot:spring-boot-starter-security依赖项才能满足所有条件。
受影响的 Spring 产品和版本
Spring Framework
- 6.0.15
- 6.1.2
更早的版本不受影响。
这些版本分别被Spring Boot 3.1.7和3.2.1使用。
缓解措施
受影响版本的用户应采取以下缓解措施。
- Spring Framework 6.0.15用户应升级到6.0.16。
- Spring Framework 6.1.2用户应升级到6.1.3。
无需其他步骤。
致谢
此问题由以下人员发现并负责任地报告:
- Aleksander Blomskøld
- LiveOverflow (hextree.io)、ZetaTwo、anasbekar、zzgoon、0xLegacyy、xyzeva、AcroTiger
参考资料
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略