国产三级在线观看免费,人人妻人人妻人人片AV,国产精品无码午夜福利,国产成年女人特黄特色毛片免

首頁(yè)安全服務(wù)安全公告
正文

Spring Cloud Gateway遠(yuǎn)程代碼執(zhí)行漏洞的安全預(yù)警與建議

發(fā)布時(shí)間:2022-03-04 11:03   瀏覽次數(shù):5045

近日,海峽信息安全威脅情報(bào)中心監(jiān)測(cè)到VMware旗下的“Spring Cloud Gateway”網(wǎng)關(guān)框架存在遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-22947),攻擊者可利用該漏洞在遠(yuǎn)程主機(jī)上執(zhí)行任意惡意代碼,從而獲取服務(wù)器控制權(quán)限,目前網(wǎng)上已出現(xiàn)漏洞利用方法,利用難度相對(duì)簡(jiǎn)單,危害程度較大。


一、漏洞描述

Spring Cloud Gateway 是Spring Cloud推出的第二代網(wǎng)關(guān)框架,其旨在為微服務(wù)架構(gòu)提供一種簡(jiǎn)單且有效的接口路由的管理方式,提供基于過(guò)濾器或者攔截器的方式實(shí)現(xiàn)網(wǎng)關(guān)基本功能,如安全認(rèn)證、監(jiān)控、限流等。當(dāng)啟用和暴露 Gateway Actuator 端點(diǎn)時(shí),使用 Spring Cloud Gateway 應(yīng)用程序可受到遠(yuǎn)程代碼注入攻擊。攻擊者可遠(yuǎn)程發(fā)送特制的惡意代碼,可在遠(yuǎn)程服務(wù)器上執(zhí)行惡意代碼請(qǐng)求。


二、影響范圍

Spring Cloud Gateway < 3.0.7

Spring Cloud Gateway < 3.1.1


三、安全防范建議

海峽信息提醒各相關(guān)單位和用戶(hù)要強(qiáng)化風(fēng)險(xiǎn)意識(shí),切實(shí)加強(qiáng)安全防范:

1、目前黑盾態(tài)勢(shì)感知、防火墻、IPS等安全設(shè)備已有規(guī)則已支持該漏洞攻擊及相關(guān)漏洞的檢測(cè),規(guī)則id為300034:


1.png


如相關(guān)用戶(hù)設(shè)備規(guī)則庫(kù)未升級(jí)至最新規(guī)則庫(kù),請(qǐng)及時(shí)升級(jí)設(shè)備規(guī)則庫(kù)版本,相關(guān)特征庫(kù)已發(fā)布到官網(wǎng)

http://number8.com.cn/Technical/upgrade.html


  2、官方已發(fā)布安全版本(若需更新版本建議升級(jí)到最新)見(jiàn):

https://github.com/spring-cloud/spring-cloud-gateway


3、臨時(shí)解決方案

如不需要網(wǎng)關(guān)執(zhí)行器端點(diǎn),則應(yīng)通過(guò)修改相關(guān)配置

management.endpoint.gateway.enabled: false(默認(rèn)情況下開(kāi)啟) 禁用它,修改配置文件application.properties,設(shè)置:

management.endpoint.gateway.enabled=false


海峽信息將持續(xù)跟進(jìn)的該高危漏洞最新動(dòng)態(tài),請(qǐng)您保持關(guān)注海峽信息官網(wǎng)、官微的公告內(nèi)容。

如有問(wèn)題,您可以通過(guò)以下方式聯(lián)系我們:

安全服務(wù)熱線(xiàn):400-666-3586

福建省海峽信息技術(shù)有限公司 版權(quán)所有  聯(lián)系: hxzhb@heidun.net 閩ICP備06011901號(hào) ? 1999-2024 Fujian Strait Information Corporation. All Rights Reserved.

返回頂部