Разработчики фреймворка Spring опубликовали срочные бюллетени безопасности, касающиеся библиотеки Micrometer. Этот инструмент широко используется для сбора метрик производительности в приложениях на языке Java. Специалисты по кибербезопасности выявили две уязвимости, которые позволяют злоумышленнику вызвать отказ в обслуживании (DoS) удаленно. Обе проблемы получили высокий уровень опасности и зарегистрированы под номерами CVE-2026-40983 и CVE-2026-40984.
Детали уязвимостей
Суть первой уязвимости (CVE-2026-40983) связана с модулем инструментария gRPC-сервера. gRPC - это высокопроизводительный протокол удаленного вызова процедур, который часто применяется в микросервисных архитектурах. Если приложение использует компонент ObservationGrpcServerInterceptor для записи наблюдений (наблюдения - это единицы сбора данных о поведении системы), злоумышленник может отправить специально сформированный gRPC-запрос. В результате сервер перегружается и перестает отвечать на легитимные запросы. Уязвимость затрагивает версии библиотеки Micrometer 1.15.0-1.15.11 и 1.16.0-1.16.5. Примечательно, что более старые выпуски (до 1.15.0) не подвержены этой проблеме.
Вторая уязвимость (CVE-2026-40984) затрагивает HTTP-инструментарий сервера. Здесь атака также осуществляется через отправку вредоносного HTTP-запроса. При этом пользователь должен использовать уязвимую версию модуля micrometer-core, а также micrometer-jetty11 или micrometer-jetty12 (библиотеки для интеграции с веб-сервером Jetty). В такой конфигурации злоумышленник способен спровоцировать отказ в обслуживании. Список подверженных версий значительно шире: micrometer-core 1.9.0-1.9.17, 1.13.0-1.13.18, 1.14.0-1.14.15, а также 1.15.0-1.15.11 и 1.16.0-1.16.5. Модули для Jetty затронуты во всех версиях, начиная с 1.13.0 вплоть до соответствующих границ.
Обе уязвимости имеют одинаковый вектор: атакующему не требуется аутентификация, а сложность эксплуатации оценивается как низкая. Это значит, что любой пользователь, имеющий доступ к сети, может вывести систему из строя, отправив всего один специально подготовленный пакет данных. Последствия для бизнеса могут быть серьезными: потеря доступности критических приложений, сбой сбора метрик и мониторинга, что в свою очередь затрудняет обнаружение других инцидентов.
Разработчики уже выпустили исправления. Для версий 1.16.x обновление до сборки 1.16.6 устраняет обе проблемы. Для линейки 1.15.x достаточно перейти на 1.15.12. Более старые серии (1.14.x, 1.13.x и 1.9.x) требуют обновления до версий 1.14.16, 1.13.19 и 1.9.18 соответственно. Однако важно отметить, что для некоторых веток исправления доступны только в рамках платной поддержки корпоративного уровня. Например, пользователи Micrometer 1.14.15 и ниже могут получить патч исключительно через коммерческую подписку.
Автор находки - исследователь безопасности Юй Бао (@August829), работающий в компании PayPal. Он ответственно сообщил о проблемах разработчикам Spring, что позволило подготовить исправления до публичной огласки.
Что это означает для команд разработки и эксплуатации? В первую очередь необходимо срочно проверить, какие версии Micrometer используются в продуктовых средах. Если приложения собирают метрики с помощью ObservationRegistry (объект, регистрирующий наблюдателей) и применяют DefaultMeterObservationHandler или аналогичные обработчики, риск особенно велик. Рекомендуется как можно быстрее обновить зависимости до указанных исправленных версий. Дополнительных мер защиты, таких как настройка межсетевых экранов или ограничение доступа по сети, может быть недостаточно, поскольку атака происходит на уровне прикладного протокола.
Кроме того, стоит пересмотреть практику использования устаревших версий библиотек. Как видно из бюллетеня, поддержка старых веток возможна только по платным контрактам. Своевременное обновление до актуальных стабильных релизов снижает подобные риски.
Таким образом, обнаружение двух уязвимостей к удаленному отказу в обслуживании в популярной библиотеке сбора метрик - серьезный сигнал для всех, кто строит микросервисные системы на Spring. Игнорирование рекомендаций может привести к простою сервисов и финансовым потерям. Разработчикам следует немедленно включить обновление Micrometer в план ближайшего релиза.
Ссылки
