Spring 博客

所有帖子
工程
发布
新闻和活动

Spring Integration Zip 1.0.4 & CVE-2021-22114

发布 | Artem Bilan | 2021 年 3 月 1 日 | ...

亲爱的 Spring 社区:

代表团队和所有贡献者,我很高兴宣布 Spring Integration Zip 扩展的 1.0.4.RELEASE 版本。

CVE-2021-22114

UnZipTransformer 未涵盖 Zip Slip 漏洞的所有情况,并且一些特定的 zip 条目名称仍然可能出现在工作目录之外。

更新后的修复已在 spring-integration-zip-1.0.4.RELEASE 版本中发布,同时还有一些其他的错误修复和改进。我们还发布了关于 CVE-2021-22114 的新公告。

鸣谢:Trung Pham,Viettel Cyber Security。

我们鼓励所有使用 Spring Integration Zip 解压缩功能的用户进行相应的升级。

干杯, 
Artem

项目页面 | GitHub 问题 | 贡献 | 帮助 | 聊天

获取 Spring 新闻资讯

通过 Spring 新闻资讯保持联系

订阅

抢先一步

VMware 提供培训和认证来加速您的进步。

了解更多

获得支持

Tanzu Spring 在一个简单的订阅中提供对 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部