【安全公告】Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979)风险通告
原创【安全公告】Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979)风险通告
原创
漏洞描述:
Spring Cloud Function拒绝服务漏洞(CVE-2022-22979)技术细节已在互联网上公开,攻击者可以向Spring Cloud Function发送大量特制的HTTP请求消耗服务器资源,从而导致拒绝服务。
Spring框架是 Java 平台的一个开源的全栈(full-stack)应用程序框架和控制反转容器实现,一般被直接称为 Spring,在 Java 社区中广为流行。
VMware官方已发布此漏洞的修复补丁,腾讯安全专家建议用户尽快升级至Spring Cloud Function 3.2.6及以上版本。
漏洞编号:
CVE-2022-22979
漏洞等级:
高危,CVSS评分7.5
漏洞状态:
漏洞细节 | POC | EXP | 在野利用 |
|---|---|---|---|
已公开 | 已公开 | 未知 | 未知 |
受影响的版本:
Spring Cloud Function < 3.2.6
不受支持的旧版本也会受到影响。
安全版本:
Spring Cloud Function >= 3.2.6
漏洞修复与缓解方案:
VMware官方已发布此漏洞的修复补丁,腾讯安全专家建议用户尽快升级至Spring Cloud Function 3.2.6及以上版本。
下载链接:
https://github.com/spring-cloud/spring-cloud-function/releases/tag/v3.2.6
腾讯安全解决方案:
- 腾讯T-Sec容器安全产品已支持检测企业容器镜像是否存在Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979);
- 腾讯T-Sec主机安全(云镜)已支持检测企业资产是否存在Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979);
- 腾讯T-Sec高级威胁检测系统(御界)已支持检测利用Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979)的攻击活动;
- 腾讯T-Sec云防火墙已支持检测防御利用Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979)的攻击;
- 腾讯T-Sec Web应用防火墙(WAF)已支持检测防御利用Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979)的攻击。
参考链接:
https://tanzu.vmware.com/security/cve-2022-22979
https://github.com/spring-cloud/spring-cloud-function/releases/tag/v3.2.6
时间线:
2022年6月29日,腾讯安全发布安全风险通告,腾讯安全全系列产品已支持检测、防御Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979)。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。