Видел это за два последних дня Представители Spring и Nacos сообщили об уязвимостях безопасности,Spring То, что вспыхнуло, было DoS Уязвимость отказа в обслуживании, Nacos То, что вспыхнуло, было Может вызвать уязвимости произвольного чтения и записи файлов.,Ниже я подробно опишу проблему и предложу решение.

Уязвимости безопасности, выпущенные Spring

Уязвимости безопасности, выпущенные Springвключает в себя два：

1、CVE-2024-38809

Spring Кадр обрабатывается HTTP По запросу, когда из “If-Match” или “If-None-Match” Анализ заголовка запроса условного запроса ETag При запросе заголовков на него легко повлиять DoS атаковать.

If-Match и If-None-Match да HTTP Заголовки условных запросов в протоколе используются для контроля состояния ресурсов при отправке запросов, чтобы избежать ненужных обновлений данных. Эти два заголовка запроса обычно связаны с. ETag используются вместе.

Затронутые версии Spring:

• 6.1.0 - 6.1.11；
• 6.0.0 - 6.0.22；
• 5.3.0 - 5.3.37；
• Затронуты другие старые версии

Решение — обновиться до последней версии безопасности:

Если вы не хотите обновлять версию, вы также можете добавить ее. Filter Фильтровать, фильтровать, чтобы ограничить каждый HTTP Парсинг запроса “If-Match” или “If-None-Match” Размер заголовка запроса условного запроса.

2、CVE-2024-38808

Пользователи могут создать уязвимость DoS, связанную с отказом в обслуживании, с помощью специально созданных выражений Spring Expression Language (SpEL).

Затронутые версии Spring:

• 5.3.0 - 5.3.38；
• Затронуты другие старые версии

Итак, исправьте то, что указано выше. DoS лазейка Версия 5.3.38 тоже уже небезопасна.,этотлазейка Решение — обновиться до последней версии безопасности:Spring 5.3.9 или ВОЗ 6.0+。

Кроме того, старайтесь избегать использования предоставленных пользователем SpEL Выражения оцениваются. Если значение должно быть обязательным, его необходимо использовать в режиме только для чтения. SimpleEvaluationContext класс для обработки.

Таким образом, окончательное решение для двух вышеупомянутых версий безопасности лазейки Spring да:

Это все да сейчас Spring Boot Оформлено, рекомендуется проверить Spring Положитесь на и обновите до безопасного Spring Boot версия, основанная на 3.1.x Следующие версии прекратили обслуживание. Лучший способ — обновиться до. 3.2.x Версия и выше:

Но да, брат Р. проверил последнее 3.3.2 и 3.2.8 Версии, они были выпущены в прошлом месяце, и не были выпущены для адаптации к выпущенным за последние два дня. Spring 6.1.12 Безопасная версия, поэтому нужно дождаться следующей версии.

При необходимости замените зависимости Spring в Spring Boot самостоятельно, но нужно обратить внимание на проблемы совместимости.

Я не буду знакомить с основами Spring Boot, рекомендую прочитать этот практический проект:

https://github.com/javastacks/spring-boot-best-practice

Уязвимости безопасности, опубликованные Nacos

Предыдущая статья：Nacos 2.4.0 Официально выпущено с крупными обновлениями!

Nacos 2.4.0 Только недавно выпущенный Nacos 2.4.1 И вот снова: эта версия в основном предназначена для исправления уязвимости безопасности, а также расширяет некоторые функции и исправляет некоторые bug。

Эта уязвимость связана главным образом с Jraft вызвано запросом,Только влияющий 7848 порт,это общееда Nacos Используется между кластерами Raft протокол связипорт,Не будет использоваться для обработки запросов клиентов.,Порт, если запрошен извне,Уязвимость безопасности, позволяющая читать и записывать произвольные файлы。

Решение:

• Безмозглое обновление Nacos до последнего Версия:2.4.1；
• Более старые версии могут ограничивать доступ к внешним запросам через брандмауэры. 7848 порт；

Кроме того, последняя версия 2.4.1 также оптимизирует интерфейс derby ops и ограничивает диапазон SQL, который может выполняться базой данных derby по умолчанию, снижая риск, когда пользователи открывают интерфейс derby ops.

Технологии обновляются слишком быстро,Скорость нашего обучения никогда не поспевает за скоростью обновления.,Но опять же,Открытый исходный код – это непросто,Поскольку использование открытого исходного кода,Вы должны принять недостатки и последствия открытого исходного кода.,По крайней мере, уязвимости в технологиях с открытым исходным кодом можно быстро выявить и устранить.

Сегодня весна и Nacos стали основой стека технологий Java,Независимо от потребностей в работе,илида Собеседование по поиску работы,Spring и Nacos — это то, что нужно выучить каждому,это было Java Один из важнейших приемов для программистов.

так,Если у вас есть время, вам следует обновить дополнительные резервы навыков.,не балуйся CRUD , со временем они будут устранены.

Наконец, если вы хотите систематически учиться Spring Cloud + Nacos Как создавать микросервисы,Рекомендуется зарегистрироватьсяRПоследний продукт Brother《Курс Spring Cloud по микросервисам Alibaba》,единовременный платеж,Бесплатные обновления будут предоставляться в будущем.,Учись вечно.

Что ж, на сегодня это все. Я продолжу уделять этому внимание и делиться новыми советами по технологии Java в будущем.