预警Spring Cloud Config 服务远程任意文件读取漏洞

释放双眼,带上耳机,听听看~!

预警Spring Cloud Config 服务远程任意文件读取漏洞(CVE-2019-3799)

2019年4月17日,阿里云云盾应急响应中心监测到Spring官方发布安全公告,披露Spring Cloud Config服务器存在远程任意文件读取漏洞(CVE-2019-3799)。黑客可通过漏洞直接遍历服务器任意磁盘文件,风险较大。

漏洞描述

Spring Cloud Config一套开源分布式系统配置服务,为分布式环境提供外部配置服务支持。目前漏洞可利用PoC已在互联网上披露,阿里云云盾应急响应中心提醒用户尽快升级相关软件并加以防护。

漏洞评级

CVE-2019-3799 高危

影响版本

2.1.x系列:< 2.1.2

2.0.x系列:< 2.0.4

1.4.x系列:< 1.4.6

其他较早版本

安全版本

2.1.x系列:2.1.2 及以上

2.0.x系列:2.0.4 及以上

1.4.x系列:1.4.6 及以上

安全建议

升级Spring Cloud Config至安全版本,并依据Spring官方文档对应用加固:https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security

相关链接

https://pivotal.io/security/cve-2019-3799

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

不满支持论坛,安全人员连续公布三个 WordPress 插件漏洞

2019-4-17 11:12:22

安全漏洞

预警Oracle WebLogic服务器高危安全漏洞预警

2019-4-17 20:24:16

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索