Sicherheitslücke CVE-2023-20873 zur Umgehung der Sicherheit mithilfe von Wildcard-Pattern-Matching auf Spring Cloud Foundry

Mobile 2023-09-06 23:21:22 views: null

Artikelverzeichnis


Fügen Sie hier eine Bildbeschreibung ein

0. Vorwort

Hintergrund: Das Unternehmensprojekt hat die Sicherheitslücke CVE-2023-20873 zur Umgehung von Sicherheitslücken mithilfe eines Wildcard-Mustervergleichs auf Spring Cloud Foundry gescannt

CVE-2023-20873: Sicherheitsumgehung durch Wildcard-Mustervergleich bei Cloud Foundry
Hohes Risiko | 18. Mai 2023 | CVE-2023-20873

In den Spring Boot-Versionen 3.0.0 – 3.0.5, 2.7.0 – 2.7.10, 2.6.0 – 2.6.14, 2.5.0 – 2.5.14 und älteren unterstützten Versionen ist es möglich, Anwendungen problemlos auf Cloud Foundry bereitzustellen unterliegt einer Sicherheitsumgehung.

1. Referenzdokumente

Offizielle CVE-Website https://www.cve.org/CVERecord?id=CVE-2023-20873
Fügen Sie hier eine Bildbeschreibung ein

2. Grundlegende Einführung

CVE-2023-20873: Sicherheitsumgehung mithilfe von Wildcard-Pattern-Matching bei Cloud Foundry
High Risk | 18. Mai 2023 | CVE-2023-20873

beschreiben

In den Spring Boot-Versionen 3.0.0 – 3.0.5, 2.7.0 – 2.7.10, 2.6.0 – 2.6.14, 2.5.0 – 2.5.14 und älteren unterstützten Versionen ist es möglich, Anwendungen problemlos auf Cloud Foundry bereitzustellen unterliegt einer Sicherheitsumgehung.

Eine Anwendung ist insbesondere dann anfällig, wenn alle folgenden Bedingungen erfüllt sind:

Sie verfügen über Code, der Anfragen verarbeitet, die /cloudfoundryapplication/** entsprechen. Dies ist in der Regel der Fall, wenn eine globale Anforderungszuordnung vorhanden ist, die mit /** übereinstimmt.
Die Anwendung wird auf Cloud Foundry bereitgestellt. Hinweis:
Anwendungen, die Spring Cloud Config Server verwenden, können standardmäßig Anfragen an /cloudfoundryapplication/** verarbeiten und
sind möglicherweise anfällig, wenn sie auf Cloud Foundry bereitgestellt werden.

Eine Bewerbung ist nicht zu riskant, wenn eine der folgenden Bedingungen zutrifft:

Die Anwendung ist nicht auf Cloud Foundry bereitgestellt.
Sie haben den Cloud Foundry-Aktor-Endpunkt deaktiviert, indem Sie „management.cloudfoundry.enabled“ auf „false“ gesetzt haben.
Ihre Anwendung verfügt nicht über eine Handlerzuordnung, die Anfragen an /cloudfoundryapplication/** verarbeiten kann.

Betroffene Spring-Produkte und -Versionen

Frühlingsstiefel

3.0.0 bis 3.0.5
2.7.0 bis 2.7.10
2.6.0 bis 2.6.14
2.5.0 bis 2.5.14
Betroffen sind auch ältere und nicht mehr unterstützte Versionen

3. Lösungen

3.1. Upgrade-Version

Benutzer betroffener Versionen sollten die folgenden Maßnahmen ergreifen:
3.0.xBenutzer sollten auf aktualisieren 3.0.6+. 2.7.xBenutzer sollten auf aktualisieren 2.7.11+. 2.6.xBenutzer sollten auf aktualisieren 2.6.15+. 2.5.xBenutzer sollten auf aktualisieren 2.5.15+. Benutzer älterer und nicht mehr unterstützter Versionen sollten auf 3.0.6+oder aktualisieren 2.7.11+.

3.2. Alternativen

== Deaktivieren Sie den Actor-Endpunkt von Cloud Foundry, indem Sie „management.cloudfoundry.enabled“ auf „false“ setzen. ==

Acho que você gosta

Origin blog.csdn.net/wangshuai6707/article/details/132539307
Recomendado
Clasificación
Diario
Más
2024-06-04(0)
2024-06-03(0)
2024-06-02(0)
2024-06-01(0)
2024-05-31(0)
2024-05-30(0)
2024-05-29(0)
2024-05-28(0)
2024-05-27(0)
2024-05-26(0)

Code World

© 2018 codetd.com