突發(fā)!Spring Cloud 爆高危漏洞..趕緊修復(fù)!!

點(diǎn)擊關(guān)注公眾號，Java干貨及時送達(dá)

Spring Cloud 突發(fā)漏洞

大家好，我是棧長。

Log4j2 的核彈級漏洞剛告一段落，Spring Cloud Gateway 又突發(fā)高危漏洞，又得折騰了。。。

昨天棧長也看到了一些安全機(jī)構(gòu)發(fā)布的相關(guān)漏洞通告，Spring Cloud 官方博客也發(fā)布了高危漏洞聲明：

Spring Cloud 中的 Spring Cloud Gateway 組件被爆出了兩個安全漏洞。

“

Spring Cloud Gateway 是 Spring Cloud 的第二代網(wǎng)關(guān)組件，是 Spring Cloud Finchley 版推出來的新組件，用來代替第一代服務(wù)網(wǎng)關(guān)：Zuul。

Spring Cloud Gateway 的主要作用是：為微服務(wù)架構(gòu)提供一種簡單、有效、統(tǒng)一的 API 路由管理方式。

具體可以參考：Spring Cloud Gateway VS Zuul 比較，怎么選擇？

”

漏洞1：

當(dāng) Spring Cloud Gateway Actuator 端點(diǎn)被啟用和暴露時，使用 Spring Cloud Gateway 的應(yīng)用程序會存在遠(yuǎn)程代碼注入攻擊的風(fēng)險，即攻擊者可以遠(yuǎn)程發(fā)出惡意攻擊請求，允許在遠(yuǎn)程服務(wù)器上進(jìn)行任意代碼執(zhí)行。

漏洞2：

Spring Cloud Gateway 如果配置并啟用 HTTP2，且未設(shè)置密鑰存儲或受信任證書，這樣 Spring Cloud Gateway 就能被無效或自定義的證書連接到遠(yuǎn)程服務(wù)。

另外，如果你想關(guān)注和學(xué)習(xí)最新、最主流的 Java 技術(shù)，棧長會持續(xù)分享，可以持續(xù)關(guān)注公眾號Java技術(shù)棧，公眾號第一時間推送。

解決方案

1、升級版本

Spring Cloud 2021.0.x 用戶可以把主版本升級到 Spring Cloud 2021.0.1，Spring Cloud Gateway 已升級到了 3.1.1。

“

這個在前幾天的《新年首發(fā)！Spring Cloud 2021.0.1 發(fā)布》最新版本發(fā)布時，我并沒有看到修復(fù)這個高危漏洞的說明，昨天官方博客發(fā)了這個漏洞通告又含在這個版本中，這就有點(diǎn)摸不到頭腦了。。

”

Spring Cloud 2020.0.x 用戶可以自行升級到 Spring Cloud Gateway 3.0.7。

其他不再維護(hù)的老版本也有漏洞，只是官方不再維護(hù)了，是否可自己升級，兼容性不得而知。

2、臨時方案（僅限第1個漏洞）

這個臨時方案僅限第 1 個漏洞，第二個漏洞只能升級 Spring Cloud 主版本。

如果不需要用到 Gateway actuator 端點(diǎn)，可通過以下配置禁用：

“

management.endpoint.gateway.enabled: false

”

如果需要 Gateway actuator 端點(diǎn)，則應(yīng)使用 Spring Security 對其進(jìn)行防護(hù)，可參考以下網(wǎng)址：

“

https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security

”

總結(jié)

Spring Cloud Gateway 這兩個漏洞還挺重要的，特別是第一個遠(yuǎn)程代碼執(zhí)行，特別危險，自行檢查，廢話不多說了，如果有涉及到的，盡快修復(fù)保平安。

學(xué) Spring Cloud 必須先掌握 Spring Boot，如果你還沒用過 Spring Boot，今天我就送你一份 《Spring Boot 學(xué)習(xí)筆記》這個很全了，包括底層實(shí)現(xiàn)原理及代碼實(shí)戰(zhàn)，非常齊全，助你快速打通 Spring Boot 的各個環(huán)節(jié)。

Spring Boot 理論和實(shí)戰(zhàn)源碼倉庫：

“

https://github.com/javastacks/spring-boot-best-practice

”

最后，如果你想關(guān)注和學(xué)習(xí)最新、最主流的 Java 技術(shù)，可以持續(xù)關(guān)注公眾號Java技術(shù)棧，公眾號第一時間推送。

參考資料：

“

版權(quán)聲明： 本文系公眾號 "Java技術(shù)棧" 原創(chuàng)，原創(chuàng)實(shí)屬不易，轉(zhuǎn)載、引用本文內(nèi)容請注明出處，抄襲者一律舉報＋投訴，并保留追究其法律責(zé)任的權(quán)利。

”

關(guān)注Java技術(shù)?？锤喔韶?/strong>

獲取 Spring Boot 實(shí)戰(zhàn)筆記！