关于Spring Cloud Function拒绝服务漏洞安全风险提示

2022-07-01234

一、背景介绍

6月28日,市委网信办技术支撑单位监测到Spring Cloud Function拒绝服务漏洞(CVE-2022-22979)技术细节在互联网上公开,攻击者可以向 Spring Cloud Function发送大量特制的HTTP请求消耗服务器资源,从而导致拒绝服务。鉴于这些漏洞影响范围较大,建议用户尽快做好自查及防护。

1.1 漏洞描述

在 Spring Cloud Function 中存在拒绝服务漏洞,攻击者可以发送大量特制的HTTP请求触发漏洞,成功利用此漏洞将消耗大量服务器资源最终导致拒绝服务。

1.2 漏洞编号

CVE-2022-22979

1.3 漏洞等级

高危


二、修复建议

2.1 受影响版本

Spring Cloud Function < 3.2.6

旧的、不受支持的版本也会受到影响

2.2 修复建议

目前VMware官方已发布此漏洞修复版本,建议用户尽快升级至Spring Cloud Function 3.2.6 及以上版本。