2020年3月6日，阿里云应急响应中心监测到Spring官方发布安全公告，披露Spring Cloud Config服务器存在远程任意文件读取漏洞(CVE-2020-5405)。黑客可通过漏洞直接遍历服务器任意磁盘文件，风险较大。

漏洞描述

Spring Cloud Config一套开源分布式系统配置服务，为分布式环境提供外部配置服务支持。目前漏洞可利用PoC已在互联网上披露，阿里云应急响应中心提醒用户尽快升级相关软件并加以防护。

历史上Spring Cloud Config服务器于2019年4月17日曾爆发过任意文件读取漏洞(CVE-2019-3799)，详情：http://help.aliyun.com/noticelist/articleid/1000130771.html

漏洞评级

CVE-2020-5405 高危

影响版本

2.2.x系列：< 2.2.2

2.1.x系列：< 2.1.7

其他较早版本

安全版本

2.2.x系列：2.2.2 及以上

2.1.x系列：2.1.7 及以上

安全建议

升级Spring Cloud Config至安全版本，并依据Spring官方文档对应用加固：https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security

阿里云WAF已可防御此漏洞攻击

阿里云云安全中心应急漏洞模块已支持对该漏洞一键检测

阿里云云防火墙已可防御此漏洞攻击

相关链接

https://pivotal.io/security/cve-2020-5405

我们会关注后续进展，请随时关注官方公告。

如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2020.3.6