描述

Reactor Netty HttpClient 的 0.9.x 版本（低于 0.9.5）和 0.8.x 版本（低于 0.8.16）可能使用不当，导致在重定向到不同域时泄露凭据。 要发生这种情况，必须已显式配置 HttpClient 以跟踪重定向。

受影响的 Spring 产品和版本

• Reactor Netty
  • 0.9 到 0.9.4
  • 0.8 到 0.8.15

缓解措施

受影响版本的用户应应用以下缓解措施：0.9.x 用户应升级到 0.9.5 (reactor-bom Dysprosium SR-5)，0.8.x 用户应升级到 0.8.16 (reactor-bom Californium SR-16)。注意：Reactor Netty 0.9.5 和 0.8.16 依赖于 Netty 4.1.45+。 Spring Boot 应用程序应升级到 2.2.5 或 2.1.13 才能使用上述版本。无需其他步骤。在某些情况下，升级后，应用程序在重定向到其他域后可能会遇到身份验证失败。 如果发生这种情况，应用程序可能需要使用重定向请求处理程序显式配置 Reactor Netty HttpClient。已修复此问题的版本包括

• Reactor Netty
  • 0.8.16
  • 0.9.5

鸣谢

此问题由 Volkswagen Group IT Services GmbH 的 Ludwig Bedacht 和 Daniel Spruth 负责识别并报告。

参考资料

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:L/A:N

历史

• 2020-02-27：发布初始漏洞报告。