[250327] Next.js 修复安全漏洞 CVE-2025-29927 | Apache Flink 2.0.0 正式发布

Next.js 修复安全漏洞 CVE-2025-29927

Next.js 发布了 15.2.3 版本,修复了一个安全漏洞 (CVE-2025-29927)。所有使用 next startoutput: 'standalone' 自托管 Next.js 应用的用户都应立即更新。

漏洞详情:

Next.js 使用内部头 x-middleware-subrequest 来防止递归请求触发无限循环。安全报告显示,攻击者可以绕 过中间件的执行,从而跳过关键检查(例如授权 cookie 验证),直接访问路由。

受影响范围:

  • 使用中间件 (next startoutput: 'standalone') 的自托管 Next.js 应用。
  • 如果你的应用依赖中间件进行身份验证或安全检查,并且在后续路由中没有再次验证,则会受到影响。
  • 使用 Cloudflare 的应用可以启用托管 WAF 规则进行防护。

不受影响范围:

  • 托管在 Vercel 上的应用。
  • 托管在 Netlify 上的应用。
  • 以静态导出方式部署的应用(中间件不执行)。

已修复版本:

  • Next.js 15.x: 15.2.3
  • Next.js 14.x: 14.2.25
  • Next.js 13.x: 13.5.9
  • Next.js 12.x: 12.3.5

如果无法立即更新到安全版本,建议阻止包含 x-middleware-subrequest 头的外部用户请求到达 Next.js 应用。

Next.js 的安全责任:

Next.js 自 2016 年以来已发布了 16 个安全公告。他们一直在改进漏洞的收集、修复和披露流程。虽然已发布 CVE,但在合作伙伴沟通方面仍有不足。为了更好地与依赖 Next.js 的合作伙伴和其他基础设施提供商合作,Next.js 正在创建一个合作伙伴邮件列表,可以通过 [email protected] 联系加入。

时间线:

  • 2025-02-27:通过 GitHub 私有漏洞报告向 Next.js 团队披露漏洞。
  • 2025-03-14:Next.js 团队开始分类报告。
  • 2025-03-14:为 Next.js 15.x 和 14.x 推送补丁。
  • 2025-03-17:发布 Next.js 14.2.25。
  • 2025-03-18:发布 Next.js 15.2.3。
  • 2025-03-18:GitHub 发布 CVE-2025-29927。
  • 2025-03-21:发布安全公告。
  • 2025-03-22:发布 Next.js 13.5.9。
  • 2025-03-23:发布 Next.js 12.3.5。

请受影响用户尽快升级到安全版本,以避免安全风险。

来源:
nextjs.org/blog/cve-20...

Apache Flink 2.0.0 正式发布!这是 Flink 2.x 系列的第一个版本,也是自 Flink 1.0 发布九年后的首个主要版本。历经两年精心准备和协作,来自165位贡献者的努力完成了25个FLIPs(Flink改进提案)和369个问题的修复,标志着 Flink 发展的新篇章。

Flink 1.0 时代,Flink 开创了基于数据流的有状态计算,实现了端到端的精确一次有状态流处理。如今,亚秒级延迟的实时处理已成为标准预期。然而,实时计算的高昂成本(资源消耗和学习曲线)阻碍了更广泛的应用。云原生架构、数据湖和 AI 大模型的兴起也对实时系统提出了新的要求。

Flink 2.0 正式应对这些挑战,目标是提供更易访问和可扩展的实时计算解决方案。

主要改进包括:

1. 分散式状态管理架构:

利用分布式文件系统 (DFS) 作为主要存储介质,解决了云原生环境下的本地磁盘限制、状态压缩导致的资源使用峰值、大型状态作业的快速扩展以及轻量级快速检查点等问题。引入了异步执行模型和 ForSt(面向流)分散式状态后端,并重新实现了七个关键的 SQL 运算符(包括连接和聚合),显著提升了性能。Nexmark 基准测试结果显示,对于 I/O 密集型查询,Flink 2.0 的吞吐量提升了 75%~120%。

2. 流批一体化:

引入了物化视图,允许用户通过单个管道声明式地管理实时和历史数据,消除了对单独代码库或工作流程的需求。支持模式和查询更新,简化了生产环境中的生命周期管理和执行。与 Apache Paimon 深度集成,增强了流式数据湖架构。

3. 自适应批处理执行:

通过自适应广播连接和自动连接倾斜优化,进一步提升了批处理性能。在 10TB TPC-DS 基准测试中,Flink 2.0 的性能比 Flink 1.20 提升了 8%~16%。

4. 流式数据湖:

与 Apache Paimon 社区紧密合作,优化了与 Paimon 数据源的交互,包括嵌套投影下推、查找连接性能提升以及简化的 Paimon 维表维护操作。

5. AI 支持:

Flink CDC 3.3 引入了在 Transform 表达式中动态调用 AI 模型的能力,原生支持 OpenAI 聊天和嵌入模型。Flink SQL 也引入了专门的 AI 模型语法,方便用户在 SQL 语句中调用 AI 模型。

6. 其他改进:

包括 DataStream V2 API(实验性)、SQL 网关支持应用程序模式、SQL 语法增强、Java 21 支持、序列化改进等。

重大变更:

包括 DataSet API、Scala DataStream 和 DataSet API、旧版 Source/Sink API、Table API 部分 API 的移除,以及部分配置选项和 REST API 的变更。 升级用户需要注意这些变更以确保平滑过渡。

Flink 2.0.0 的发布标志着实时数据处理进入了一个新的时代,它将帮助企业更有效率地利用实时数据,并更好地支持 AI 工作流。

来源:
flink.apache.org/2025/03/24/...

更多内容请查阅 : blog-250327

相关推荐
燕雀安知鸿鹄之志哉.20 分钟前
ctfshow WEB web5
安全·web安全·网络安全·系统安全
Sinokap2 小时前
Let’s Encrypt 宣布推出短期证书与 IP 地址支持,推动 Web 安全迈向新高度
前端·tcp/ip·安全·ocr
屎派克3 小时前
物理安全——问答
安全
是懒羊羊吖~5 小时前
RCE漏洞
笔记·安全
网络安全-老纪6 小时前
网络安全-网络安全基础
安全·web安全·php
矿渣渣6 小时前
嵌入式系统安全架构白皮书
安全·安全架构
Sweet_vinegar7 小时前
Wire1
安全·ctf·misc·攻防世界
摇滚侠8 小时前
org.apache.maven.surefire:surefire-junit-platform:jar:2.22.2 Maven打包失败
junit·maven·apache
Blockchina9 小时前
第 4 章 | Solidity安全 权限控制漏洞全解析
安全·web3·区块链·智能合约·solidity
不会kao代码的小王9 小时前
DeepSeek-R1国产大模型实战:从私有化部署到内网穿透远程使用全攻略
学习·安全·ai·stable diffusion·开源