转载

Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响

01 事件背景

6月25日, Apache 官方安全团队通过邮件公开报告了一个高危漏洞,邮件中介绍了 HTTP/2 拒绝服务漏洞的细节及解决方案。如下图所示:

漏洞详情链接:

  • http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3Cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3E
Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响

翻译

  • 漏洞名称:Apache Tomcat HTTP/2 拒绝服务漏洞
  • 漏洞编号:CVE-2020-11996
  • 严重程度: 重要
  • 软件提供商: Apache 软件基金会

受影响的版本:

  • Apache Tomcat 10.0.0-M1 ~ 10.0.0-M5
  • Apache Tomcat 9.0.0.M1 ~ 9.0.35
  • Apache Tomcat 8.5.0 ~ 8.5.55

漏洞描述:一个特别制作的 HTTP/2 请求序列,在短短数秒内能导致 CPU 满负载率,如果有足够数量多的此类请求连接(HTTP/2)并发放在服务器上,服务器可能会失去响应。

如果条件允许,可以通过升级到Tomcat新版本来解决漏洞。下面为受影响版本对应的安全版本:

  • Apache Tomcat 10.0.0-M6+
  • Apache Tomcat 9.0.36+
  • Apache Tomcat 8.5.56+

02 Spring Cloud / Boot 框架影响

Apache Tomcat HTTP/2 拒绝服务漏洞也给Spring Cloud / Boot 框架带来了一定的影响。下面是所有受影响的版本列表,大家可以查看并对照下自己的代码,看看是否受到影响。

Spring Cloud Edgware / Spring Boot 1.5.x

  • Spring Cloud [Edgware.RELEASE - Edgware.SR6] 版本受到影响。
  • Spring Boot [1.5.0.RELEASE - 1.5.22.RELEASE] 版本受到影响。

Spring Cloud Finchley / Spring Boot 2.0.x

  • Spring Cloud [Finchley.RELEASE - Finchley.SR4] 版本受到影响。
  • Spring Boot [2.0.0.RELEASE - 2.0.9.RELEASE] 版本受到影响。

Spring Cloud Greenwich / Spring Boot 2.1.x

  • Spring Cloud [Greenwich.RELEASE - Greenwich.SR6] 版本受到影响。
  • Spring Boot [2.1.0.RELEASE - 2.1.14.RELEASE] 版本受到影响。
  • Spring Boot [2.1.15.RELEASE] 版本已修复。

Spring Cloud Hoxton / Spring Boot 2.2.x

  • Spring Cloud [Hoxton.RELEASE - Hoxton.SR6] 版本受到影响。
  • Spring Boot [2.2.0.RELEASE - 2.2.7.RELEASE] 版本受到影响。
  • Spring Boot [2.2.8.RELEASE] 版本已修复。

Spring Boot 2.3.x

  • Spring Boot [2.3.0.RELEASE] 版本受到影响。
  • Spring Boot [2.3.1.RELEASE] 版本已修复。

03 升级方案

为了避免上述漏洞,现有两种升级方案:

直接升级Spring Boot版本。

手动升级Tomcat版本。

升级 Spring Cloud Edgware / Spring Boot 1.5.x

Edgware无法通过升级Spring Boot版本解决问题。=

<properties> 
    <tomcat-embed.version>8.5.56</tomcat-embed.version> 
</properties> 
 
<dependencyManagement> 
    <dependencies> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-core</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-el</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-websocket</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
        <dependency> 
            <groupId>org.apache.tomcat</groupId> 
            <artifactId>tomcat-annotations-api</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
    </dependencies> 
</dependencyManagement> 

升级Spring Cloud Finchley / Spring Boot 2.0.x

Finchley无法通过升级Spring Boot版本解决问题。

<properties> 
    <tomcat-embed.version>8.5.56</tomcat-embed.version> 
</properties> 
 
<dependencyManagement> 
    <dependencies> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-core</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-el</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-websocket</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
    </dependencies> 
</dependencyManagement> 

升级Spring Cloud Greenwich / Spring Boot 2.1.x

1. 升级Spring Boot

<parent> 
    <groupId>org.springframework.boot</groupId> 
    <artifactId>spring-boot-starter-parent</artifactId> 
    <version>2.1.15.RELEASE</version> 
</parent> 

2. 升级Tomcat

<properties> 
    <tomcat-embed.version>9.0.36</tomcat-embed.version> 
</properties> 
 
<dependencyManagement> 
    <dependencies> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-core</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-el</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-websocket</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
    </dependencies> 
</dependencyManagement> 

升级Spring Cloud Hoxton / Spring Boot 2.2.x

1. 升级Spring Boot

<parent> 
    <groupId>org.springframework.boot</groupId> 
    <artifactId>spring-boot-starter-parent</artifactId> 
    <version>2.2.8.RELEASE</version> 
</parent> 

2. 升级Tomcat

<properties> 
    <tomcat-embed.version>9.0.36</tomcat-embed.version> 
</properties> 
 
<dependencyManagement> 
    <dependencies> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-core</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-el</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-websocket</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
    </dependencies> 
</dependencyManagement> 

升级Spring Boot 2.3.x

1. 升级Spring Boot

<parent> 
    <groupId>org.springframework.boot</groupId> 
    <artifactId>spring-boot-starter-parent</artifactId> 
    <version>2.3.1.RELEASE</version> 
</parent> 

2. 升级Tomcat

<properties> 
    <tomcat-embed.version>9.0.36</tomcat-embed.version> 
</properties> 
 
<dependencyManagement> 
    <dependencies> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-core</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency> 
        <dependency> 
            <groupId>org.apache.tomcat.embed</groupId> 
            <artifactId>tomcat-embed-websocket</artifactId> 
            <version>${tomcat-embed.version}</version> 
        </dependency>    </dependencies></dependencyManagement> 
原文  http://netsecurity.51cto.com/art/202007/620654.htm
正文到此结束
所属分类: 编程技术 Java

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 Ant教程 ANTLR教程 SpringCloud java实例教程 springcloud-demo XStream教程 Hazelcast教程 Elastic-Job-Lite 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 solr教程 Hadoop教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 java-demo Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 Spring Cloud Consul实现选举机制
  2. 2 Spring Boot集成ShedLock实现分布式定时任务
  3. 3 利用oss进行数据库和网站图片备份
  4. 4 Spring Cloud Stream实现数据流处理
  5. 5 Python3访问MySQL数据库快速入门Demo
  6. 6 Github开源项目作者可以免费申请 JetBrains 全家桶
  7. 7 Spring Cloud Vault快速入门Demo
  8. 8 Spring Cloud Gateway快速入门Demo
  9. 9 Spring Cloud Contract快速入门Demo
  10. 10 Spring Cloud Consul快速入门Demo
网站信息
  • 文章总数:82,714 篇
  • 文件总数:284,287 个
  • 标签总数:2,393 个
  • 分类总数:85 个
  • 留言数量:2,560 条
  • 在线人数:650 人
  • 运行天数:4,408天
  • 最后更新:2024年11月21日19点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG