关于Spring Boot拒绝服务漏洞（CVE-2023-20883）的预警提示

发布时间：2023-05-25浏览次数：2888

一、漏洞详情 Spring Boot是一个基于Java的开源框架，目的是为了简化Spring应用的初始搭建以及开发过程。 Spring发布安全公告，修复了Spring Boot中的一个拒绝服务漏洞（CVE-2023-20883）。Spring Boot某些受影响版本中，如果Spring MVC与反向代理缓存一起使用，则Spring Boot在欢迎页面容易受到拒绝服务(DoS)攻击。如果应用程序启用了Spring MVC自动配置、使用了Spring Boot的欢迎页面支持，且应用程序部署在缓存404响应的代理之后，则应用程序容易受到攻击。 建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。 二、影响范围 Spring Boot 3.0.x版本：3.0.0 - 3.0.6 Spring Boot 2.7.x版本：2.7.0 - 2.7.11 Spring Boot 2.6.x版本：2.6.0 - 2.6.14 Spring Boot 2.5.x版本：2.5.0 - 2.5.14 以及不受支持的旧版本。 三、修复建议 目前该漏洞已经修复，受影响用户可升级到以下版本： Spring Boot 3.0.x版本：>= 3.0.7 Spring Boot 2.7.x版本：>= 2.7.12 Spring Boot 2.6.x版本：>= 2.6.15 Spring Boot 2.5.x版本：>= 2.5.15 使用不受支持的旧版本的用户：升级到3.0.7、2.7.12或更高版本。 下载链接：https://github.com/spring-projects/spring-boot/tags