我很高兴代表团队和所有贡献者宣布 Spring Authorization Server 1.2.3、1.1.6 和 1.0.6 正式发布。

这些版本解决了 Spring Authorization Server 中 PKCE 降级的 CVE-2024-22258 问题。

Tanzu Spring 运行时

使用 Spring Boot 2.7 或 3.0 的商业客户可以使用新的 Spring Boot 热修复版本机制，提供 2.7.20.2 和 3.0.15.2 版本。Spring Boot 热修复版本是及时发布的版本，它修补依赖管理以在使用 CVE 修复发布时使用最新的 Spring 组件。今天发布的热修复版本可在 Spring 商业构件存储库上获得，并且可以通过 Spring 企业订阅访问。

Spring Boot 3.1 和 3.2 的商业客户和 OSS 用户应立即手动升级到 Spring Authorization Server 1.1.6 和 1.2.3，并在本周晚些时候升级到 Spring Boot 3.1.10 和 3.2.4。

请继续关注有关热修复版本和我们在此领域的计划的更多详细信息。

项目页面 | GitHub 问题 | 项目看板