ToB企服应用市场:ToB评测及商务社交产业平台

标题: Spring 和 Nacos 双双爆出安全漏洞！！ [打印本页]

---

作者: 麻花痒    时间: 2024-8-16 16:17
标题: Spring 和 Nacos 双双爆出安全漏洞！！
各人好，我是R哥。
这两天看到 Spring 和 Nacos 官方双双发布了安全漏洞，Spring 爆出的是 DoS 拒绝服务漏洞，Nacos 爆出的是会造成任意文件读写漏洞，下面我会具体说明题目并提供办理办法。
Spring 发布的安全漏洞

Spring 发布的安全漏洞包括两个：
1、CVE-2024-38809

Spring 框架在处理 HTTP 请求时，当从 “If-Match” 或 “If-None-Match” 条件请求请求头解析 ETag 请求头时，很容易会受到 DoS 的攻击。

If-Match 和 If-None-Match 是 HTTP 协议中的条件请求头，用于在发送请求时对资源的状态进行控制，以避免数据不须要的更新，这两个请求头一样平常与 ETag 一起利用。

影响的 Spring 版本：

• 6.1.0 - 6.1.11；
  
• 6.0.0 - 6.0.22；
  
• 5.3.0 - 5.3.37；
  
• 其他老版本都受影响
  

办理办法就是升级到最新安全版本：
漏洞版本安全版本6.1.x6.1.126.0.x6.0.235.3.x5.3.38如果不想升级版本，也可以加一个 Filter 过滤器，通过过滤器来限制每个 HTTP 请求解析 “If-Match” 或 “If-None-Match” 条件请求请求头的大小。
2、CVE-2024-38808

用户可以通过特制的 Spring 表达式语言（SpEL）表达式，造成 DoS 拒绝服务漏洞。
影响的 Spring 版本：

• 5.3.0 - 5.3.38；
  
• 其他老版本都受影响
  

所以，修复上面谁人 DoS 漏洞的 5.3.38 版本也已经不安全了，这个漏洞的办理办法就是升级到最新安全版本：Spring 5.3.9 或者 6.0+。
另外，尽量避免对用户提供的 SpEL 表达式进行求值运算，如果肯定要求值，就须要在只读模式下利用 SimpleEvaluationContext 类进行处理。
所以，最终办理以上两个漏洞的 Spring 安全版本是：
漏洞版本安全版本6.1.x6.1.126.0.x6.0.235.3.x5.3.39现在都是 Spring Boot 框架了，建议检查 Spring 依赖并升级到安全的 Spring Boot 版本，基于 3.1.x 以下的版本都停止维护了，最好的办法是升级到 3.2.x 及以上的版本：

但是，R哥检查了下最新的 3.3.2 和 3.2.8 版本，它们还是上个月发布的，并未发布适配这两天发布的 Spring 6.1.12 安全版本，所以须要等候下一个版本。
有须要的自行替换 Spring Boot 中的 Spring 依赖吧，但须要注意兼容性题目。
Spring Boot 基础就不介绍了，推荐看这个实战项目：

https://github.com/javastacks/spring-boot-best-practice

Nacos 发布的安全漏洞

上一篇：Nacos 2.4.0 正式发布，带来重磅更新！
Nacos 2.4.0 才发布不久，Nacos 2.4.1 又来了，这个版本主要是为了修复一个安全漏洞，另外也还加强了几个功能以及修复一些 bug。

这个漏洞主要是由于 Jraft 请求造成的，受影响的仅为 7848 端口，它一样平常是 Nacos 集群间利用 Raft 协议通信的端口，不会用于处理客户端的请求，该端口如果被外部请求，会导致任意文件被读写的安全漏洞。
办理办法：

• 无脑升级 Nacos 到最新版本：2.4.1；
  
• 老版本可以通过防火墙限制外部请求访问 7848 端口；
  

别的，最新发布的 2.4.1 版本还优化了 derby ops 接口，默认限制了 derby 数据库可执行的 SQL 范围，降低了用户打开 derby ops 接口时的风险。
技能更新太快，咱们学习的速度永远跟不上更新的速度，但话又说回来，开源不易，既然用开源，就得担当开源的弊端和结果，至少开源技能的漏洞很快能被爆出来并被办理。
如今，Spring 和 Nacos 成为了 Java 技能栈的中坚力量，不管是工作须要，或者是跳槽面试，Spring 和 Nacos 都是必学的，它已成为了 Java 程序员必备的技能之一。
所以，各人有时间还是要多更新一些技能储备，不要沉迷在 CRUD 中，久而久之就会被淘汰了。
最后，如果你想体系学习 Spring Cloud + Nacos 如何构建微服务，建议报名R哥最新出品的《Spring Cloud Alibaba 微服务课程》，一次付费，后续都提供免费更新，永久学习。
好了，本日的分享就到这里了，后续R哥也会继续关注并分享更多的 Java 技能干货，关注公众号Java技能栈第一时间推送。

版权声明： 本文系公众号 "Java技能栈" 原创，转载、引用本文内容请注明出处，抄袭、洗稿一律投诉侵权，结果自尊，并保存追究其法律责任的权利。

更多文章推荐：
1.Spring Boot 3.x 教程，太全了！
2.2,000+ 道 Java面试题及答案整理(2024最新版)
3.免费获取 IDEA 激活码的 7 种方式（2024最新版）
以为不错，别忘了随手点赞+转发哦！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4