奇安信CERT
致力於第一時間為企業級用戶提供安全風險通告和有效解決方案。
安全通告
漏洞名稱
Spring Cloud Function拒絕服務漏洞
公開時間
2022-06-21
更新時間
2022-06-28
CVE編號
CVE-2022-22979
其他編號
QVD-2022-9758
威脅類型
拒絕服務
技術類型
無限制的資源分配
廠商
VMware
產品
SpringCloud Function
風險等級
奇安信CERT風險評級
風險等級
高危
藍色(一般事件)
現時威脅狀態
POC狀態
EXP狀態
在野利用狀態
技術細節狀態
已發現
未發現
未發現
已公開
漏洞描述
在Spring Cloud Function 中存在拒絕服務漏洞,攻擊者可以發送大量特製的HTTP請求觸發漏洞,成功利用此漏洞將消耗大量服務器資源最終導致拒絕服務。
影響版本
Spring Cloud Function < 3.2.6
舊的、不受支持的版本也會受到影響
不受影響版本
Spring Cloud Function >= 3.2.6
其他受影響組件
無
目前奇安信CERT已成功復現Spring Cloud Function 拒絕服務漏洞(CVE-2022-22979),截圖如下:
威脅評估
漏洞名稱
Spring Cloud Function 拒絕服務漏洞
CVE編號
CVE-2022-22979
其他編號
QVD-2022-9758
CVSS 3.1評級
高危
CVSS 3.1分數
7.5
CVSS向量
訪問途徑(AV)
攻擊複雜度(AC)
網絡
低
所需權限(PR)
用戶交互(UI)
無
不需要
影響範圍(S)
機密性影響(C)
不改變
無
完整性影響(I)
可用性影響(A)
無
高
危害描述
攻擊者可以發送特製的HTTP請求觸發漏洞,成功利用此漏洞將消耗大量服務器資源,最終導致拒絕服務。
處置建議
目前VMware官方已發布此漏洞修復版本,建議用戶儘快升級至Spring Cloud Function 3.2.6及以上版本。
https://github.com/spring-cloud/spring-cloud-function/releases/tag/v3.2.6
產品解決方案
奇安信網站應用安全雲防護系統已更新防護特徵庫
奇安信網神網站應用安全雲防護系統已全面支持對Spring Cloud Function 拒絕服務漏洞(CVE-2022-22979)的防護。
奇安信開源衛士已支持
奇安信開源衛士20220628. 1112版本已支持對Spring Cloud Function拒絕服務漏洞(CVE-2022-22979)的檢測。
參考資料
[1]https://tanzu.vmware.com/security/cve-2022-22979
[2]https://checkmarx.com/blog/spring-function-cloud-dos-cve-2022-22979-and-unintended-function-invocation/
時間線
2022年6月28日,奇安信 CERT發布安全風險通告
到奇安信NOX-安全監測平台查詢更多漏洞詳情
留言列表