[250327] Next.js 修复安全漏洞 CVE-2025-29927 | Apache Flink 2.0.0 正式发布

Next.js 修复安全漏洞 CVE-2025-29927

Next.js 发布了 15.2.3 版本,修复了一个安全漏洞 (CVE-2025-29927)。所有使用 next startoutput: 'standalone' 自托管 Next.js 应用的用户都应立即更新。

漏洞详情:

Next.js 使用内部头 x-middleware-subrequest 来防止递归请求触发无限循环。安全报告显示,攻击者可以绕 过中间件的执行,从而跳过关键检查(例如授权 cookie 验证),直接访问路由。

受影响范围:

  • 使用中间件 (next startoutput: 'standalone') 的自托管 Next.js 应用。
  • 如果你的应用依赖中间件进行身份验证或安全检查,并且在后续路由中没有再次验证,则会受到影响。
  • 使用 Cloudflare 的应用可以启用托管 WAF 规则进行防护。

不受影响范围:

  • 托管在 Vercel 上的应用。
  • 托管在 Netlify 上的应用。
  • 以静态导出方式部署的应用(中间件不执行)。

已修复版本:

  • Next.js 15.x: 15.2.3
  • Next.js 14.x: 14.2.25
  • Next.js 13.x: 13.5.9
  • Next.js 12.x: 12.3.5

如果无法立即更新到安全版本,建议阻止包含 x-middleware-subrequest 头的外部用户请求到达 Next.js 应用。

Next.js 的安全责任:

Next.js 自 2016 年以来已发布了 16 个安全公告。他们一直在改进漏洞的收集、修复和披露流程。虽然已发布 CVE,但在合作伙伴沟通方面仍有不足。为了更好地与依赖 Next.js 的合作伙伴和其他基础设施提供商合作,Next.js 正在创建一个合作伙伴邮件列表,可以通过 [email protected] 联系加入。

时间线:

  • 2025-02-27:通过 GitHub 私有漏洞报告向 Next.js 团队披露漏洞。
  • 2025-03-14:Next.js 团队开始分类报告。
  • 2025-03-14:为 Next.js 15.x 和 14.x 推送补丁。
  • 2025-03-17:发布 Next.js 14.2.25。
  • 2025-03-18:发布 Next.js 15.2.3。
  • 2025-03-18:GitHub 发布 CVE-2025-29927。
  • 2025-03-21:发布安全公告。
  • 2025-03-22:发布 Next.js 13.5.9。
  • 2025-03-23:发布 Next.js 12.3.5。

请受影响用户尽快升级到安全版本,以避免安全风险。

来源:
nextjs.org/blog/cve-20...

Apache Flink 2.0.0 正式发布!这是 Flink 2.x 系列的第一个版本,也是自 Flink 1.0 发布九年后的首个主要版本。历经两年精心准备和协作,来自165位贡献者的努力完成了25个FLIPs(Flink改进提案)和369个问题的修复,标志着 Flink 发展的新篇章。

Flink 1.0 时代,Flink 开创了基于数据流的有状态计算,实现了端到端的精确一次有状态流处理。如今,亚秒级延迟的实时处理已成为标准预期。然而,实时计算的高昂成本(资源消耗和学习曲线)阻碍了更广泛的应用。云原生架构、数据湖和 AI 大模型的兴起也对实时系统提出了新的要求。

Flink 2.0 正式应对这些挑战,目标是提供更易访问和可扩展的实时计算解决方案。

主要改进包括:

1. 分散式状态管理架构:

利用分布式文件系统 (DFS) 作为主要存储介质,解决了云原生环境下的本地磁盘限制、状态压缩导致的资源使用峰值、大型状态作业的快速扩展以及轻量级快速检查点等问题。引入了异步执行模型和 ForSt(面向流)分散式状态后端,并重新实现了七个关键的 SQL 运算符(包括连接和聚合),显著提升了性能。Nexmark 基准测试结果显示,对于 I/O 密集型查询,Flink 2.0 的吞吐量提升了 75%~120%。

2. 流批一体化:

引入了物化视图,允许用户通过单个管道声明式地管理实时和历史数据,消除了对单独代码库或工作流程的需求。支持模式和查询更新,简化了生产环境中的生命周期管理和执行。与 Apache Paimon 深度集成,增强了流式数据湖架构。

3. 自适应批处理执行:

通过自适应广播连接和自动连接倾斜优化,进一步提升了批处理性能。在 10TB TPC-DS 基准测试中,Flink 2.0 的性能比 Flink 1.20 提升了 8%~16%。

4. 流式数据湖:

与 Apache Paimon 社区紧密合作,优化了与 Paimon 数据源的交互,包括嵌套投影下推、查找连接性能提升以及简化的 Paimon 维表维护操作。

5. AI 支持:

Flink CDC 3.3 引入了在 Transform 表达式中动态调用 AI 模型的能力,原生支持 OpenAI 聊天和嵌入模型。Flink SQL 也引入了专门的 AI 模型语法,方便用户在 SQL 语句中调用 AI 模型。

6. 其他改进:

包括 DataStream V2 API(实验性)、SQL 网关支持应用程序模式、SQL 语法增强、Java 21 支持、序列化改进等。

重大变更:

包括 DataSet API、Scala DataStream 和 DataSet API、旧版 Source/Sink API、Table API 部分 API 的移除,以及部分配置选项和 REST API 的变更。 升级用户需要注意这些变更以确保平滑过渡。

Flink 2.0.0 的发布标志着实时数据处理进入了一个新的时代,它将帮助企业更有效率地利用实时数据,并更好地支持 AI 工作流。

来源:
flink.apache.org/2025/03/24/...

更多内容请查阅 : blog-250327

相关推荐
后院那片海13 分钟前
系统安全及应用
安全·系统安全
XINO1 小时前
防火墙双机热备实践
运维·安全
冷冷清清中的风风火火1 小时前
关于敏感文件或备份 安全配置错误 禁止通过 URL 访问 Vue 项目打包后的 .gz 压缩文件
前端·vue.js·安全
原创资讯1 小时前
安全挑战再升级,2025都有哪些备份与恢复挑战?
安全
XINO2 小时前
企业常见安全事故排查思路
运维·安全
我最厉害。,。2 小时前
XML&XXE 安全&无回显方案&OOB 盲注&DTD 外部实体&黑白盒挖掘
android·xml·安全
自由如风7093 小时前
Apache Atlas构建安装(Linux)
linux·运维·apache
Connie14513 小时前
K8s使用LIRA插件更新安全组交互流程
安全·容器·kubernetes
XINVRY-FPGA3 小时前
XC7K410T‑2FFG900I 赛灵思XilinxFPGA Kintex‑7
嵌入式硬件·安全·阿里云·ai·fpga开发·云计算·fpga
自由鬼5 小时前
开源身份和访问管理(IAM)解决方案:Keycloak
服务器·数据库·安全·开源·身份认证·单点登录