在Spring Boot版本3.0.0-3.0.6、2.7.0-2.7.11、2.6.0-2.6.14、2.5.0-2.5.14和不受支持的旧版本中,如果将Spring MVC与反向代理缓存一起使用,则可能会发生拒绝服务(DoS)攻击
一、影响范围
Spring Boot 3.0.x版本:3.0.0 - 3.0.6
Spring Boot 2.7.x版本:2.7.0 - 2.7.11
Spring Boot 2.6.x版本:2.6.0 - 2.6.14
Spring Boot 2.5.x版本:2.5.0 - 2.5.14
以及不受支持的旧版本。
二、解决方案
2.1、升级版本
Spring Boot 3.0.x版本:>= 3.0.7
Spring Boot 2.7.x版本:>= 2.7.12
Spring Boot 2.6.x版本:>= 2.6.15
Spring Boot 2.5.x版本:>= 2.5.15
使用不受支持的旧版本的用户:升级到3.0.7、2.7.12或更高版本。
2.2、升级完后增加应用配置
1:增加application.yml spring自动化配置 排除ErrorMvcAutoConfiguration类 (ErrorMvcAutoConfiguration类为异常错误视图显示类)
spring:autoconfigure:exclude: org.springframework.boot.autoconfigure.web.servlet.error.ErrorMvcAutoConfiguration2:不配置反向代理的404响应
)
-- 程序异常追踪(CmBacktrace 和 segger rtt))
)
