• <th id="askcy"></th>
  • <kbd id="askcy"><pre id="askcy"></pre></kbd>
    
    
  • <kbd id="askcy"><pre id="askcy"></pre></kbd>
  • 首頁安全服務安全公告
    正文

    Spring Cloud Gateway遠程代碼執行漏洞的安全預警與建議

    發布時間:2022-03-04 11:03   瀏覽次數:4970

    近日,海峽信息安全威脅情報中心監測到VMware旗下的“Spring Cloud Gateway”網關框架存在遠程代碼執行漏洞(CVE-2022-22947),攻擊者可利用該漏洞在遠程主機上執行任意惡意代碼,從而獲取服務器控制權限,目前網上已出現漏洞利用方法,利用難度相對簡單,危害程度較大。


    一、漏洞描述

    Spring Cloud Gateway 是Spring Cloud推出的第二代網關框架,其旨在為微服務架構提供一種簡單且有效的接口路由的管理方式,提供基于過濾器或者攔截器的方式實現網關基本功能,如安全認證、監控、限流等。當啟用和暴露 Gateway Actuator 端點時,使用 Spring Cloud Gateway 應用程序可受到遠程代碼注入攻擊。攻擊者可遠程發送特制的惡意代碼,可在遠程服務器上執行惡意代碼請求。


    二、影響范圍

    Spring Cloud Gateway < 3.0.7

    Spring Cloud Gateway < 3.1.1


    三、安全防范建議

    海峽信息提醒各相關單位和用戶要強化風險意識,切實加強安全防范:

    1、目前黑盾態勢感知、防火墻、IPS等安全設備已有規則已支持該漏洞攻擊及相關漏洞的檢測,規則id為300034:


    1.png


    如相關用戶設備規則庫未升級至最新規則庫,請及時升級設備規則庫版本,相關特征庫已發布到官網

    http://www.qdyhygm.com/Technical/upgrade.html


      2、官方已發布安全版本(若需更新版本建議升級到最新)見:

    https://github.com/spring-cloud/spring-cloud-gateway


    3、臨時解決方案

    如不需要網關執行器端點,則應通過修改相關配置

    management.endpoint.gateway.enabled: false(默認情況下開啟) 禁用它,修改配置文件application.properties,設置:

    management.endpoint.gateway.enabled=false


    海峽信息將持續跟進的該高危漏洞最新動態,請您保持關注海峽信息官網、官微的公告內容。

    如有問題,您可以通過以下方式聯系我們:

    安全服務熱線:400-666-3586

    福建省海峽信息技術有限公司 版權所有  聯系: hxzhb@heidun.net 閩ICP備06011901號 ? 1999-2024 Fujian Strait Information Corporation. All Rights Reserved.

    返回頂部

    主站蜘蛛池模板: 49pao强力在线高清基地| 中文字幕电影资源网站大全| 波多野结衣爱爱| 午夜欧美精品久久久久久久| 豆奶视频官网下载观看| 国产手机在线视频| 50岁老女人的毛片免费观看| 大ji巴cao死你高h男男gg| 亚洲色一区二区三区四区| 国产成人yy精品1024在线| 国产精品线在线精品| 两个人看的视频www在线高清| 日韩av高清在线看片| 亚洲综合视频在线观看| 精品国产无限资源免费观看| 国产一区二区三区在线观看免费| 黄网站在线播放视频免费观看| 在线视频一区二区日韩国产| 一区二区三区视频在线播放| 我要打飞华人永久免费| 亚洲人成网站在线观看播放青青| 精品久久精品久久| 国产69久久精品成人看| 蜜桃精品免费久久久久影院| 国产啊v在线观看| 国产**一级毛片视频直播| 国产欧美日韩在线观看一区二区 | 四虎成人精品在永久在线观看| 69tang在线观看| 在线成年视频免费观看| 中文字幕免费人成乱码中国| 欧美国产人妖另类色视频| 亚洲欧美精品在线| 污污网站免费观看| 午夜伦伦影理论片大片| 美女双腿打开让男人桶爽网站| 国产xxxx做受视频| 青青青手机视频| 国产亚洲精品bt天堂精选| 野外三级国产在线观看| 国产乱视频在线观看|