领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2024-38807:Spring Boot Loader 中的签名伪造漏洞
描述
使用 spring-boot-loader 或 spring-boot-loader-classic 并包含执行嵌套 jar 文件签名验证的自定义代码的应用程序,可能容易受到签名伪造的影响,即内容看起来是由一个签名者签名的,但实际上是由另一个签名者签名的。
受影响的 Spring 产品和版本
Spring Boot
- 2.7.0 - 2.7.21
- 3.0.0 - 3.0.16
- 3.1.0 - 3.1.12
- 3.2.0 - 3.2.8
- 3.3.0 - 3.3.2
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 2.7.x | 2.7.22 | 仅限企业支持 |
| 3.0.x | 3.0.17 | 仅限企业支持 |
| 3.1.x | 3.1.13 | 仅限企业支持 |
| 3.2.x | 3.2.9 | OSS |
| 3.3.x | 3.3.3 | OSS |
致谢
该问题由 Yufan You 发现并负责任地报告。
参考资料
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略