Spring Cloud Config 服务远程任意文件读取漏洞(CVE-2019-3799)

背景信息:

2019年4月17日,监测到Spring官方发布安全公告,披露Spring Cloud Config服务器存在远程任意文件读取漏洞(CVE-2019-3799)。黑客可通过漏洞直接遍历服务器任意磁盘文件,风险较大。

漏洞描述:

Spring Cloud Config一套开源分布式系统配置服务,为分布式环境提供外部配置服务支持。目前漏洞可利用PoC已在互联网上披露。

漏洞定级:

高危

漏洞影响范围:

  1. 2.1.x系列:< 2.1.2
  2. 2.0.x系列:< 2.0.4
  3. 1.4.x系列:< 1.4.6
  4. 其他较早版本

漏洞不影响范围:

  1. 2.1.x系列:2.1.2 及以上
  2. 2.0.x系列:2.0.4 及以上
  3. 1.4.x系列:1.4.6 及以上

漏洞处置建议:

升级Spring Cloud Config至安全版本,并依据Spring官方文档对应用加固:https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security

相关推荐:
漏洞描述: 2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP函数循环挂起,导致网站功能受到影响,从而影响服务不可用,目前PoC已公开,由于使用PHP语 …
漏洞描述: 2018年4月11日,Spring Data Commons存在远程代码执行漏洞(CVE-2018-1273),攻击者可以构造恶意的请求对Spring Data REST发起攻击,包括使用基于HTTP资源的,或者其他请求基于Spring Data’s projection …
漏洞描述: 2019年6月26日,有社区媒体披露了致远OA 办公系统远程代码执行漏洞。攻击者通过构造特定的HTTP请求,成功利用漏洞可在目标服务器上执行任意命令,风险极大。 致远OA htmlofficeservlet HTTP接口处理请求 …
漏洞描述: 2017年9月5日,Struts官方发布一个严重级别的安全漏洞,该漏洞编号为:S2-052,在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。 漏洞定级: …
漏洞描述: 2017年10月2日, 由Google安全团队发现的多个DNSMASQ安全漏洞被披露。其中漏洞编号为 CVE-2017-14491、CVE-2017-14492、CVE-2017-14493 的三个漏洞被相关厂商标记为严重等级, 剩余编号为 CVE-2017-14494 …
拿起手机扫一扫即可带走我!