CVE-2023-20883 拒绝服务攻击

在Spring Boot版本3.0.0-3.0.6、2.7.0-2.7.11、2.6.0-2.6.14、2.5.0-2.5.14和不受支持的旧版本中,如果将Spring MVC与反向代理缓存一起使用,则可能会发生拒绝服务(DoS)攻击

一、影响范围

Spring Boot 3.0.x版本:3.0.0 - 3.0.6

Spring Boot 2.7.x版本:2.7.0 - 2.7.11

Spring Boot 2.6.x版本:2.6.0 - 2.6.14

Spring Boot 2.5.x版本:2.5.0 - 2.5.14

以及不受支持的旧版本。

二、解决方案

2.1、升级版本

Spring Boot 3.0.x版本:>= 3.0.7

Spring Boot 2.7.x版本:>= 2.7.12

Spring Boot 2.6.x版本:>= 2.6.15

Spring Boot 2.5.x版本:>= 2.5.15

使用不受支持的旧版本的用户:升级到3.0.7、2.7.12或更高版本。

2.2、升级完后增加应用配置

1:增加application.yml spring自动化配置 排除ErrorMvcAutoConfiguration类 (ErrorMvcAutoConfiguration类为异常错误视图显示类)

spring:
  autoconfigure:
    exclude: org.springframework.boot.autoconfigure.web.servlet.error.ErrorMvcAutoConfiguration

2:不配置反向代理的404响应

你可能感兴趣的:(spring,java,后端)