Java 後端要快手查依賴:Apache HttpComponents Core 兩個 DoS 漏洞要補
Tech News

Java 後端要快手查依賴:Apache HttpComponents Core 兩個 DoS 漏洞要補

圖片:via iThome — https://www.ithome.com.tw/news/177106
TechLab 編輯部(譯)·

影響 httpcore5 / httpcore5-h2,唔好淨係等依賴 bot 提醒

件事唔大聲,但後端隊要即刻睇

iThome 報道,Apache Software Foundation 喺 7 月 1 日公開兩個 Apache HttpComponents Core 漏洞,編號係 CVE-2026-54428CVE-2026-54399。兩個都唔係偷資料或者遠端執行程式碼嗰類,但都拎到 CVSS 7.5,高風險位喺「打爆記憶體令服務頂唔住」。如果你有 Java API、內部 service、SDK、Spring backend、甚至自家寫嘅 HTTP client/server 組件,用到 HttpComponents Core 5.x,就唔好當純公告掃走。

兩個洞,打嘅位唔同

第一個 CVE-2026-54428 落喺 org.apache.httpcomponents.core5:httpcore5-h2,即 HTTP/2 相關模組。官方公告講,問題出喺 HPACK decoder,攻擊者可以喺 HTTP/2 SETTINGS acknowledgement 之前塞入過大嘅壓縮 header block,令記憶體一路俾食住。第二個 CVE-2026-54399 就係 org.apache.httpcomponents.core5:httpcore5 嘅 HTTP/1.1 message parser,攻擊方法係送大量 header,或者超長 header,結果一樣係令 JVM 記憶體受壓,最後服務可能變慢、hang 死或者重啟。

點解唔好淨係等 Dependabot

呢單最易漏嘅位,係好多團隊未必直接喺 pom.xmlhttpcore5。佢可能係由 httpclient5、某個 cloud SDK、支付 SDK、搜尋 client、內部共用 library 間接拉入嚟。再麻煩啲講,截至 7 月 6 日我哋見到 GitHub Advisory Database 兩個 GHSA 條目都未列出 Maven package 同修補版本,頁面仲寫明 Dependabot alert 未支援呢條 advisory。即係話,只等 GitHub 出紅色提醒,有機會慢半拍,甚至完全睇漏。

先查版本,再決定點升

Apache 公告列出受影響版本係 5.4.2、5.5-beta1,同埋同線之前版本;Maven Central 而家見到 httpcore5httpcore5-h2 最新係 5.5-beta2,Apache project news 亦列出 5.4.35.5-beta2 喺 6 月 25 日發佈。實務上,如果你跑緊穩定線,就先睇可唔可以升到 5.4.3;如果你本身已經試緊 5.5 beta,就跟到 5.5-beta2。唔好只改一個 artifact,要同時睇 httpcore5httpcore5-h2,因為 HTTP/1.1 同 HTTP/2 係兩個唔同攻擊面。

Maven / Gradle 可以咁掃

Maven 專案可以先跑 mvn dependency:tree -Dincludes=org.apache.httpcomponents.core5,再睇有冇 httpcore5httpcore5-h2 卡喺 5.4.2 / 5.5-beta1 或以下。Gradle 就睇 runtimeClasspathcompileClasspath,例如用 ./gradlew dependencies --configuration runtimeClasspath 再搜尋 httpcore5。如果你用 Spring Boot BOM 或公司內部 platform BOM,記得查埋 effective version;好多時開發者以為自己冇 pin version,其實係 BOM 幫你 pin 咗舊版。

補唔切,都要喺邊界擋一擋

最好做法當然係升版,不過大公司有時要排 regression test。短期可以喺 reverse proxy、API gateway、WAF 或 ingress 加 header size、header count、request rate limit,同時監控 JVM heap、GC pause、OutOfMemoryError、pod restart。呢啲唔係正式修補,只係減低有人亂塞 header 時即刻打穿服務嘅機會。對金融、電商、物流、會員系統呢類長開 API 嘅 Java 團隊,今次重點好簡單:先搵出依賴,再升到 5.4.3 或 5.5-beta2,跟住先再慢慢清 BOM 同 SBOM 流程。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook