Spring Cloud Config 服务远程任意文件读取漏洞(CVE-2019-3799)

回复
雷雨
论坛版主
论坛版主
帖子: 440
注册时间: 周一 2月 13, 2017 11:34 am

Spring Cloud Config 服务远程任意文件读取漏洞(CVE-2019-3799)

帖子 雷雨 » 周日 4月 28, 2019 5:15 pm

CVSS分值: 无
CVSS: 无
披露时间: 2019-04-17
CVE ID: CVE-2019-3799
简介:2019年4月17日,烈火科技安全应急响应中心监测到Spring官方发布安全公告,披露Spring Cloud Config服务器存在远程任意文件读取漏洞(CVE-2019-3799)。黑客可通过漏洞直接遍历服务器任意磁盘文件,风险较大。
详情:Spring Cloud Config一套开源分布式系统配置服务,为分布式环境提供外部配置服务支持。目前漏洞可利用PoC已在互联网上披露,烈火科技安全应急响应中心提醒用户尽快升级相关软件并加以防护。
漏洞评级:CVE-2019-3799 高危



影响版本

2.1.x系列:< 2.1.2

2.0.x系列:< 2.0.4

1.4.x系列:< 1.4.6

其他较早版本

安全版本

2.1.x系列:2.1.2 及以上
2.0.x系列:2.0.4 及以上
4.x系列:1.4.6 及以上

解决方案:升级Spring Cloud Config至安全版本,并依据Spring官方文档对应用加固:https://cloud.spring.io/spring-cloud-co ... l#security

回复