登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202207/1644555_30003_0.htm

Spring Security Oauth2拒绝服务漏洞(CVE-2022-22969)通告

【发布时间:2022-07-06】

漏洞综述

漏洞背景

OAuth 协议是一个安全的、开放而又简易的用户资源授权协议,与以往的授权方式不同之处是 OAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),从而保证用户信息的安全。spring-security-oauth2是基于spring-security框架完整实现oauth2协议的框架,具有oauth2的4种模式访问和第三方登录等功能。近日,新华三攻防实验室威胁预警团队监测到VMware官方发布了安全公告,解决了在Spring Security OAuth 2中存在的一个拒绝服务漏洞(CVE-2022-22969),请受影响用户尽快安装更新补丁,避免受到影响。

漏洞原理

该漏洞是由于在 OAuth 2.0 客户端程序中发起的授权请求容易使spring-security-oauth受到拒绝服务攻击,恶意攻击者可以通过发送多个请求从而启动授权功能,这可能会导致单个会话耗尽系统资源,最终服务器停止服务。

影响范围

2.5.x < spring-security-oauth <= 2.5.2

漏洞等级:严重

处置方法

官方补丁

目前官方已发布更新补丁,请受影响用户及时关注并尽快更新,官方链接:https://github.com/spring-projects/spring-security-oauth/tags

参考链接

https://tanzu.vmware.com/security/cve-2022-22969


新华三官网
联系我们