Spring云流是否受到CVE-2022-22963(Spring云功能)的影响
CVE-2022-22963-Spring云函数漏洞是最近发现的,团队在这里提供了一个简单的修复程序:cve-report-发布-for-spring-cloud-函数
我们通过以下依赖项(我们的spring.boot.version是2.2.6)从spring cloud stream:3.0.4获取spring cloud函数上下文:3.0.6:
- spring cloud services启动器断路器:2.2.6
我们没有直接使用RoutingFunction,但担心通过我上面提到的spring cloud stream带来spring cloud函数上下文/核心的库可能会使用RoutingFunction,并使我们暴露于漏洞
我们在此CVE上的首选缓解措施是什么
我们是否可以升级到spring云功能版本3.1.7,而不存在与spring版本的兼容性问题?
共有1个答案
Spring Cloud Function和Spring Cloud Stream 3.0. x版本不支持OSS/商业支持。即使对于3.1. x版本,它们也不支持OSS,如提供的链接中的图表所示。路由功能问题在Spring Cloud Function3.2.3和3.1.7版本中得到解决。我们的建议是手动升级到模块spring-cloud d-Function-上下文的这些版本之一。
-
是否存在CVE-2022-21449可能导致黑客/滥用的情况? 我在spring security和java的github repo上展示了这一点。安全性被广泛使用,但我不知道库中的使用如何导致安全缺陷。
-
我试图将Spring Cloud Stream与本主题中描述的功能一起使用。但是它不起作用。 我的职能: 我推送消息。通过使用输出注释制作的生产者,发送到consumer-in-0频道: 我的yaml通道配置: 如果我通过配置使用消费者,一切正常。同样在rabbitmq管理器中,我看到生产者正在工作并发送消息,但消费者并不使用它们。帮帮我,请某人帮忙。 附言:我也使用Spring WebFlux
-
我正在尝试用《Spring的云流》和《Kafka》。下面是示例代码。但它似乎没有任何作用。它总是创建一个名为“输出”的主题。但这些价值观尚未公布。 应用亚马尔 我的目标就是创造价值。 依赖性-2.2.6。释放
-
我无法使用功能供应商发送Avro消息。SCSt尝试将消息作为JSON发送,但失败。有人能指出是否需要任何其他配置吗? 这是供应商的功能bean 和配置
-
我们正在使用口水作为我们的业务规则。Drools是否受到CVE-2021-44228(Log4Shell或Log4J/Apache/Java漏洞)的影响/暴露