释放双眼,带上耳机,听听看~!
2020年3月6日,本站安全专题监测到Spring官方发布安全公告,披露Spring Cloud Config服务器存在远程任意文件读取漏洞(CVE-2020-5405)。黑客可通过漏洞直接遍历服务器任意磁盘文件,风险较大。
漏洞描述
Spring Cloud Config一套开源分布式系统配置服务,为分布式环境提供外部配置服务支持。目前漏洞可利用PoC已在互联网上披露,本站安全专题提醒用户尽快升级相关软件并加以防护。
历史上Spring Cloud Config服务器于2019年4月17日曾爆发过任意文件读取漏洞(CVE-2019-3799),详情:http://help.aliyun.com/noticelist/articleid/1000130771.html
漏洞评级
CVE-2020-5405 高危
影响版本
2.2.x系列:< 2.2.2
2.1.x系列:< 2.1.7
其他较早版本
安全版本
2.2.x系列:2.2.2 及以上
2.1.x系列:2.1.7 及以上
安全建议
升级Spring Cloud Config至安全版本,并依据Spring官方文档对应用加固:云中心
安全云中心已可防御此漏洞攻击
安全云中心应急漏洞模块已支持对该漏洞一键检测
安全云中心已可防御此漏洞攻击
相关链接
https://pivotal.io/security/cve-2020-5405
我们会关注后续进展,请随时关注官方公告。
内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。
本站安全专题
2020.3.6
