Spring Cloud Config 服务远程任意文件读取漏洞(CVE-2019-3799)

背景信息:

2019年4月17日,监测到Spring官方发布安全公告,披露Spring Cloud Config服务器存在远程任意文件读取漏洞(CVE-2019-3799)。黑客可通过漏洞直接遍历服务器任意磁盘文件,风险较大。

漏洞描述:

Spring Cloud Config一套开源分布式系统配置服务,为分布式环境提供外部配置服务支持。目前漏洞可利用PoC已在互联网上披露。

漏洞定级:

高危

漏洞影响范围:

  1. 2.1.x系列:< 2.1.2
  2. 2.0.x系列:< 2.0.4
  3. 1.4.x系列:< 1.4.6
  4. 其他较早版本

漏洞不影响范围:

  1. 2.1.x系列:2.1.2 及以上
  2. 2.0.x系列:2.0.4 及以上
  3. 1.4.x系列:1.4.6 及以上

漏洞处置建议:

升级Spring Cloud Config至安全版本,并依据Spring官方文档对应用加固:https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • 漏洞描述: 2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP函数循环挂起,导致网站功能受到影响,从而影响服务不可用,目前PoC已公开,由于使用PHP语言开发的网站使用GD库实现上传图片功能(例如:会员账号头像、博客相册等功能...
  • 漏洞描述: 2017年9月5日,Struts官方发布一个严重级别的安全漏洞,该漏洞编号为:S2-052,在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。 漏洞定级: 高危 漏洞CVE编号: CVE-2017-9805 漏洞影响范围: Stru...
  • 漏洞描述: 2018年3月29日,Drupal官方发布新补丁和安全公告,宣称Drupal 6.x,7.x,8.x等多个子版本存在远程代码执行漏洞,攻击者可以利用Drupal网站漏洞执行代码,导致网站被完全控制。 漏洞定级: 高危 漏洞影响范围: Drupal 6.x版本,7.x版本,8.x版本 解决...
  • 漏洞描述: 2018年4月26日,Drupal官方发布新补丁和安全公告,宣称Drupal 7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用Drupal网站漏洞,需要登录且有删除权限后触发执行恶意代码,导致网站被完全控制。 漏洞影响范围: Drupal 7.x版本、8.4.x版本、8.5.x版本...
  • 漏洞描述: Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735。 漏洞位于编辑器的 modelines 功能中,该功能允许用户指定窗口大小和其它定制选项,modelines 限制了沙盒内可用的指令,但安全研究员 Armin Razmjou 发现 s...
微信扫一扫即可带走我!