欢迎user
漏洞综述
漏洞背景
OAuth 协议是一个安全的、开放而又简易的用户资源授权协议,与以往的授权方式不同之处是 OAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),从而保证用户信息的安全。spring-security-oauth2是基于spring-security框架完整实现oauth2协议的框架,具有oauth2的4种模式访问和第三方登录等功能。近日,新华三攻防实验室威胁预警团队监测到VMware官方发布了安全公告,解决了在Spring Security OAuth 2中存在的一个拒绝服务漏洞(CVE-2022-22969),请受影响用户尽快安装更新补丁,避免受到影响。
漏洞原理
该漏洞是由于在 OAuth 2.0 客户端程序中发起的授权请求容易使spring-security-oauth受到拒绝服务攻击,恶意攻击者可以通过发送多个请求从而启动授权功能,这可能会导致单个会话耗尽系统资源,最终服务器停止服务。
影响范围
2.5.x < spring-security-oauth <= 2.5.2
漏洞等级:严重
处置方法
官方补丁
目前官方已发布更新补丁,请受影响用户及时关注并尽快更新,官方链接:https://github.com/spring-projects/spring-security-oauth/tags
参考链接
https://tanzu.vmware.com/security/cve-2022-22969