【高危】- Spring-cloud-config-server路径遍历漏洞通告(CVE-2020-5405)
■ 漏洞描述
Spring Cloud Config一套开源分布式系统配置服务,为分布式环境提供外部配置服务支持。
Spring Cloud Config服务器存在远程任意文件读取漏洞(CVE-2019-3799)。黑客可通过漏洞直接遍历服务器任意磁盘文件,风险较大。
■ 影响范围
2.2.x系列:< 2.2.2
2.1.x系列:< 2.1.7
其他较早版本
■ 漏洞检测
1、检测方法:查看系统版本。检查pom.xml文件中引入spring-cloud-config-server组件的具体版本
■ 漏洞修复
使用2.1.x版本的用户请更新至2.1.7版本:
org.springframework.cloud spring-cloud-config-server 2.1.7.RELEASE
使用2.2.x版本的用户请更新至2.2.2版本:
org.springframework.cloud spring-cloud-config-server 2.2.2.RELEAS
■ 临时修复
添加阿里云waf
■ 漏洞详情
https://help.aliyun.com/noticelist/articleid/1060245682.html
Spring Cloud Config一套开源分布式系统配置服务,为分布式环境提供外部配置服务支持。
Spring Cloud Config服务器存在远程任意文件读取漏洞(CVE-2019-3799)。黑客可通过漏洞直接遍历服务器任意磁盘文件,风险较大。
■ 影响范围
2.2.x系列:< 2.2.2
2.1.x系列:< 2.1.7
其他较早版本
■ 漏洞检测
1、检测方法:查看系统版本。检查pom.xml文件中引入spring-cloud-config-server组件的具体版本
■ 漏洞修复
使用2.1.x版本的用户请更新至2.1.7版本:
org.springframework.cloud spring-cloud-config-server 2.1.7.RELEASE
使用2.2.x版本的用户请更新至2.2.2版本:
org.springframework.cloud spring-cloud-config-server 2.2.2.RELEAS
■ 临时修复
添加阿里云waf
■ 漏洞详情
https://help.aliyun.com/noticelist/articleid/1060245682.html