如所述NIST在Spring Cloud Function 3.1.6、3.2.2和更早的不受支持的版本中,当使用路由功能时,用户可以提供一个特制的SpEL作为路由表达式,这可能导致远程代码执行和访问本地资源。
该漏洞最初于2022年3月29日报告。bob电竞频道Grafana实验室已经审查了我们的代码库、问题、项目、漏洞、库和许可证,我们没有发现任何证据表明我们受到了Spring4Shell漏洞的影响。
更多信息,根据VMware, Spring4Shell漏洞绕过补丁cve - 2010 - 1622,导致CVE-2010-1622再次被利用。JDK版本9及以后提供了两种沙盒限制方法,提供了一条利用CVE-2010-1622的路径(JDK版本9之前只提供了一种沙盒限制方法),可以绕过补丁。
CISA鼓励用户和管理员立即应用必要的更新春季博客文章提供了Spring云功能更新解决CVE-2022-22963和Spring框架更新解决CVE-2022-22965。中钢协还建议审查VMWare Tanzu漏洞报告CVE-2022-22965:在JDK 9+上通过数据绑定Spring框架RCE和CERT协调中心(CERT/CC)漏洞说明VU # 970766获取更多信息。
如果您有任何问题或顾虑,请从您的内部开立机票,与我们的支持团队联系www.tubolov.com门户页面。
报告安全问题
如果您认为发现了安全漏洞,请将报告发送至security@www.tubolov.com。此地址可用于Grafana Labs的所有开源和商业产品(包括但不限于Gbob电竞频道rafana、Grafana Cloud、Grafana Enterbob手机app官网prise和www.tubolov.com)。我们只能接受这个地址的漏洞报告。我们希望您使用我们的PGP密钥加密您的消息给我们。密钥指纹为
F988 7bea 027a 049f ae8e 5caa d125 8932 be24 c5ca
该密钥可从keyserver.ubuntu.com。
安全公告
我们在Grafana社区网站上维护了一个叫做安全公告,我们将在其中发布包含安全补丁的任何补丁的摘要、补救和缓解细节。我们还有一个安全类别在我们的博客上。
如果你有一个www.tubolov.com帐户,你也可以订阅这个类别的电子邮件更新,并登录社区网站或通过一个跟踪更新RSS提要。
