漏洞通告 | Spring Cloud Function 拒绝服务漏洞;微软6月多个安全漏洞

Spring Cloud Function DoS漏洞与微软6月安全更新
最新推荐文章于 2025-05-20 23:18:42 发布
原创 最新推荐文章于 2025-05-20 23:18:42 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文介绍了Spring Cloud Function中的拒绝服务漏洞(CVE-2022-22979),该漏洞可能导致框架用户遭遇DoS攻击,影响3.2.5及旧版本。建议用户升级到3.2.6以修复。同时,微软6月发布了55个安全漏洞补丁,涉及Office、Windows等多个组件,包括影响广泛的产品,如.NET、Azure、Windows等,部分已被野战利用。用户应尽快安装官方发布的安全补丁进行防护。
部署运行你感兴趣的模型镜像

Spring Cloud Function拒绝服务漏洞

1.基础信息

2.漏洞详情

Spring Cloud Function 是基于 Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。

6月15日,VMware发布安全公告,修复了Spring Cloud Function中的一个拒绝服务漏洞(CVE-2022-22979),该漏洞的CVSSv3评分为7.5。

在Spring Cloud Function 3.2.5 和不受支持的旧版本中,由于框架中Function Catalog组件的缓存问题,直接与框架提供的查找功能交互(如通过spring-cloud-function-web模块进行交互)的用户可能导致拒绝服务。

3.影响范围

Spring Cloud Function 

3.2.5以及不受支持的旧版本。

4.安全建议

目前此漏洞已经修复,受影响用户可以升级到Spring Cloud Function 3.2.6。

下载链接:https://github.com/spring-cloud/spring-cloud-function/tags

5.参考链接

https://spring.io/blog/2022/06/15/cve-report-published-for-spring-cloud-function

微软6月多个安全漏洞

1.基础信息

2022年6月14日,微软发布了6月份的安全更新,其中包含了Microsoft Office,Windows LDAP ,Windows Network File System 等多个组件的55个CVE的漏洞补丁,有3个被微软官方标记为"Critical(严重)",51个被标记为为"Important(重要)",其中CVE-2022-30190为微软5月份公布的影响Microsoft Windows 支持诊断工具 (MSDT)组件的代码执行漏洞,且已发现针对该漏洞的在野利用行为。涉及Windows、Microsoft Office、SQL Server、.NET framework、HEVC Video Extensions等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。

2.影响范围

.NET and Visual Studio

Azure OMI

Azure Real Time Operating System

Azure Service Fabric Container

Intel

Microsoft Edge (Chromium-based)

Microsoft Office

Microsoft Office Excel

Microsoft Office SharePoint

Microsoft Windows ALPC

Microsoft Windows Codecs Library

Remote Volume Shadow Copy Service (RVSS)

Role: Windows Hyper-V

SQL Server

Windows Ancillary Function Driver for WinSock

Windows App Store

Windows Autopilot

Windows Container Isolation FS Filter Driver

Windows Container Manager Service

Windows Defender

Windows Encrypting File System (EFS)

Windows File History Service

Windows Installer

Windows iSCSI

Windows Kerberos

Windows Kernel

Windows LDAP - Lightweight Directory Access Protocol

Windows Local Security Authority Subsystem Service

Windows Media

Windows Network Address Translation (NAT)

Windows Network File System

Windows PowerShell

Windows SMB

3.安全建议

目前微软官方已针对受支持的产品版本发布了修复以上漏洞的安全补丁,强烈建议受影响用户尽快安装补丁进行防护,建议受影响用户使用Windows Update进行自动更新,或者通过以下链接索引漏洞相关影响平台和更新补丁进行手动更新:

https://msrc.microsoft.com/update-guide/zh-cn

配置自动更新的方式:

通过Windows 操作系统中的自动更新功能进行更新:

若要自己打开“自动更新”,请按照以下步骤操作:

1.单击“开始”,单击“运行”,键入 wscui.cpl,然后单击“确定”。

2.单击“自动更新”。

3.选择自动更新选项:

自动(推荐) - 此选项可让您选择自动下载和安装更新的日期和时间。这可以是每天,或是特定的日期和时间。

4.参考链接

https://msrc.microsoft.com/update-guide/zh-cn

https://msrc.microsoft.com/update-guide/releaseNote/2022-Jun

您可能感兴趣的与本文相关的镜像

EmotiVoice

EmotiVoice

AI应用

EmotiVoice是由网易有道AI算法团队开源的一块国产TTS语音合成引擎,支持中英文双语,包含2000多种不同的音色,以及特色的情感合成功能,支持合成包含快乐、兴奋、悲伤、愤怒等广泛情感的语音。

基于SpringCloud设计的宿舍管理系统
02-07 1381
本设计采用了基于SpringCloud微服务技术架构还有各种中间件来实现宿舍管理系统,主要完成了用户管理,宿舍管理,公告管理,缺勤管理,来访人员管理等模块,实现了宿舍更高效的相关管理,让学校宿舍为学生服务更加方便快捷。
vulhub通关实战一(附docker vulhub 虚拟机环境)
悦分享
12-26 2308
docker vulhub 虚拟机环境:docker-compose up -d 启动服务:登录7001端口用户名weblogic,密码Oracle@123。
SpringCloudFunction漏洞分析
HongYu012的博客
03-27 1983
SpringCloudFunction是一个SpringBoot开发的Servless中间件(FAAS),支持基于SpEL的函数式动态路由。在特定配置下,3 <= 版本 <= 3.2.2(commit dc5128b之前)存在SpEL表达式执行导致的RCE。 补丁分析 在main分支commit dc5128b中,新增了SimpleEvaluationContext: 由isViaHeader变量作为flag,在解析前判断spring.cloud.function...
漏洞复现】Weblogic CVE-2023-21839
zg_111的博客
03-23 7657
Weblogic CVE-2023-21839漏洞复现
解决Spring Boot中的安全漏洞与防护策略
微赚淘客开发者博客
07-07 1244
本文深入探讨了Spring Boot中常见的安全漏洞及防护策略,介绍了使用Spring Security来加强应用程序的安全性,并提出了一些其他防范措施和最佳实践。Spring Security是Spring Framework提供的一种安全框架,能够有效地保护应用程序免受常见的安全威胁。在实际应用开发中,安全工作是一个持续不断的过程。除了基础的防御措施外,团队应该定期进行安全审计和漏洞扫描,保持系统和依赖库的更新,及时修复已知的安全漏洞,并且进行安全培训以提高开发人员的安全意识。
漏洞防御实录:CVE-2023-XXXX远程代码执行漏洞修复指南
最新发布
介绍各种好的开源工具!
05-20 1531
2023年全球曝光的多个高危RCE漏洞(如CVE-2023-21768、CVE-2023-21839等)表明,此类漏洞的利用门槛正在降低,而防御复杂度却在持续攀升。• 紧急修复:针对已公开利用的漏洞(如CVE-2023-21839),直接应用厂商补丁。• 协议解析错误:如CVE-2023-21839(Weblogic T3/IIOP协议漏洞),恶意序列化数据触发远程类加载。• 权限管理失效:如CVE-2023-21554(MSMQ服务漏洞),未授权访问导致攻击者直接投递恶意消息队列。
CVE-2023-20883 拒绝服务攻击
wcy1900353090的博客
09-07 3555
Spring Boot版本3.0.0-3.0.6、2.7.0-2.7.11、2.6.0-2.6.14、2.5.0-2.5.14和不受支持的旧版本中,如果将Spring MVC与反向代理缓存一起使用,则可能会发生拒绝服务(DoS)攻击Spring Boot 3.0.x版本:3.0.0 - 3.0.6Spring Boot 2.7.x版本:2.7.0 - 2.7.11Spring Boot 2.6.x版本:2.6.0 - 2.6.14Spring Boot 2.5.x版本:2.5.0 - 2.5.14。
漏洞通告】SaltStack RCE等高危漏洞通告
爱国小白帽
11-04 721
原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 今天 通告编号:NS-2020-0064 2020-11-14 TA****G: SaltStack、CVE-2020-16846、CVE-2020-17490、CVE-2020-25592 漏洞危害: *攻击者利用漏洞,可实现认证绕过与命令执行等。* 版本: **1.0 ** 1 漏洞概述 近日,绿盟科技监测到SaltStack官方发布安全通告修复了以下3个高危漏洞CVE-2020-168
安全漏洞通告|Spring Cloud Function SPEL表达式注入漏洞解决方案
bocco的博客
03-28 1875
近日,安全狗应急响应中心监测到Spring Cloud官方修复了一个Spring Cloud Function中的SPEL表达式注入漏洞
vulhub之Spring
追风少年亚索的博客
11-01 982
免责声明: 本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
事件中心模式构建:解耦多模块通信的6种高内聚低耦合实践
[事件中心模式构建:解耦多模块通信的6种高内聚低耦合实践](https://terasolunaorg.github.io/guideline/5.2.0.RELEASE/en/_images/exception-handling-flow-annotation.png) # 摘要 事件中心模式作为事件驱动架构...
官方安全漏洞通告
夜星空如海的博客
03-05 154
官方安全通告收集列表
漏洞预警|Spring Cloud Function 存在Dos漏洞
LJQClqjc的博客
07-08 464
棱镜七彩安全预警近日网上有关于开源项目Spring Cloud Function 存在Dos漏洞的信息,棱镜七彩安全研究院对漏洞进行了POC验证。项目介绍Spring Cloud Function 是基于 Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。项目主页https://spring.io/projects/spring-cloud-function代码托管地址https://github.com/spring-cloud
【已复现】Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856)安全风险通告
smellycat000的专栏
08-05 607
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Apache OFBiz 授权不当致代码执行漏洞漏洞编号QVD-2024-35284,CVE-2024-38856公开时间2024-08-04影响量级万级奇安信评级高危CVSS 3.1分数9.1威胁类型代码执行利用可能性高POC状态已公开在野利用状态未发现EXP状态未公开技术细节状态已公开危害描述:该漏洞允许攻击者绕过身份验证执行任意代码...
Spring RCE 0day高危漏洞预警(Spring Cloud Function / Spring Beans)
罗小爬的技术宝书
03-31 1217
近日Spring框架2个RCE(Remote Code Execution)漏洞(Sping Cloud FunctionSpring Beans)跟踪及补救方案。
Spring BootCVE-2023-20883从2.3升级到2.7.18的过程
YangChaoNo1的博客
08-30 1583
Spring BootCVE-2023-20883,从2.3.12升级至2.7.18
信息安全丨Windows操作系统多个安全漏洞的风险通告,从零基础到精通,收藏这篇就够了!
Libra1313的博客
01-02 1461
高危漏洞< 及时进行更新修复,避免被入侵>近期,国家信息安全漏洞共享平台(CNVD)及Microsoft公司相继发布了一系列关于Windows操作系统存在的安全漏洞的公告。这些漏洞几乎涉及所有受支持的 Windows 版本,严重影响校园网络安全,特此向全校师生发出紧急安全提醒,请大家务必高度重视并及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被攻击者入侵。
虚拟机搭建本地springcloud环境
weixin_43328357的博客
02-17 1039
虚拟机搭建本地环境记录 1.vmware的安装 1.进入vm官网,下载页面 2.选择试用,不然要登录的 3.安装 4.输入秘钥 百度来的可用2020-02-13测试 UG5J2-0ME12-M89WY-NPWXX-WQH88 2.vmware的安装centos7 1.下载centos7,选择Minimal.iso centos7阿里镜像地址 2.安装、选择开机查看ip,检测是否正常联网 ip a...
使用SpringCloudFunction进行函数式应用
AI天才研究院
01-28 1983
1.背景介绍 在现代软件开发中,函数式编程已经成为一种非常受欢迎的编程范式。它提供了一种更简洁、更易于理解和维护的编程方式。Spring Cloud Function是一种基于Spring Boot的函数式编程框架,它使得开发者可以轻松地创建、部署和管理函数式应用。在本文中,我们将深入探讨如何使用Spring Cloud Function进行函数式应用开发。 1. 背景介绍 函数式编程是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值