Next.js 修复安全漏洞 CVE-2025-29927
Next.js 发布了 15.2.3 版本,修复了一个安全漏洞 (CVE-2025-29927)。所有使用 next start 和 output: 'standalone' 自托管 Next.js 应用的用户都应立即更新。
漏洞详情:
Next.js 使用内部头 x-middleware-subrequest 来防止递归请求触发无限循环。安全报告显示,攻击者可以绕 过中间件的执行,从而跳过关键检查(例如授权 cookie 验证),直接访问路由。
受影响范围:
- 使用中间件 (
next start且output: 'standalone') 的自托管 Next.js 应用。 - 如果你的应用依赖中间件进行身份验证或安全检查,并且在后续路由中没有再次验证,则会受到影响。
- 使用 Cloudflare 的应用可以启用托管 WAF 规则进行防护。
不受影响范围:
- 托管在 Vercel 上的应用。
- 托管在 Netlify 上的应用。
- 以静态导出方式部署的应用(中间件不执行)。
已修复版本:
- Next.js 15.x:
15.2.3 - Next.js 14.x:
14.2.25 - Next.js 13.x:
13.5.9 - Next.js 12.x:
12.3.5
如果无法立即更新到安全版本,建议阻止包含 x-middleware-subrequest 头的外部用户请求到达 Next.js 应用。
Next.js 的安全责任:
Next.js 自 2016 年以来已发布了 16 个安全公告。他们一直在改进漏洞的收集、修复和披露流程。虽然已发布 CVE,但在合作伙伴沟通方面仍有不足。为了更好地与依赖 Next.js 的合作伙伴和其他基础设施提供商合作,Next.js 正在创建一个合作伙伴邮件列表,可以通过 partners@nextjs.org 联系加入。
时间线:
- 2025-02-27:通过 GitHub 私有漏洞报告向 Next.js 团队披露漏洞。
- 2025-03-14:Next.js 团队开始分类报告。
- 2025-03-14:为 Next.js 15.x 和 14.x 推送补丁。
- 2025-03-17:发布 Next.js 14.2.25。
- 2025-03-18:发布 Next.js 15.2.3。
- 2025-03-18:GitHub 发布 CVE-2025-29927。
- 2025-03-21:发布安全公告。
- 2025-03-22:发布 Next.js 13.5.9。
- 2025-03-23:发布 Next.js 12.3.5。
请受影响用户尽快升级到安全版本,以避免安全风险。
Apache Flink 2.0.0 正式发布:实时数据处理的新纪元
Apache Flink 2.0.0 正式发布!这是 Flink 2.x 系列的第一个版本,也是自 Flink 1.0 发布九年后的首个主要版本。历经两年精心准备和协作,来自165位贡献者的努力完成了25个FLIPs(Flink改进提案)和369个问题的修复,标志着 Flink 发展的新篇章。
Flink 1.0 时代,Flink 开创了基于数据流的有状态计算,实现了端到端的精确一次有状态流处理。如今,亚秒级延迟的实时处理已成为标准预期。然而,实时计算的高昂成本(资源消耗和学习曲线)阻碍了更广泛的应用。云原生架构、数据湖和 AI 大模型的兴起也对实时系统提出了新的要求。
Flink 2.0 正式应对这些挑战,目标是提供更易访问和可扩展的实时计算解决方案。
主要改进包括:
1. 分散式状态管理架构:
利用分布式文件系统 (DFS) 作为主要存储介质,解决了云原生环境下的本地磁盘限制、状态压缩导致的资源使用峰值、大型状态作业的快速扩展以及轻量级快速检查点等问题。引入了异步执行模型和 ForSt(面向流)分散式状态后端,并重新实现了七个关键的 SQL 运算符(包括连接和聚合),显著提升了性能。Nexmark 基准测试结果显示,对于 I/O 密集型查询,Flink 2.0 的吞吐量提升了 75%~120%。
2. 流批一体化:
引入了物化视图,允许用户通过单个管道声明式地管理实时和历史数据,消除了对单独代码库或工作流程的需求。支持模式和查询更新,简化了生产环境中的生命周期管理和执行。与 Apache Paimon 深度集成,增强了流式数据湖架构。
3. 自适应批处理执行:
通过自适应广播连接和自动连接倾斜优化,进一步提升了批处理性能。在 10TB TPC-DS 基准测试中,Flink 2.0 的性能比 Flink 1.20 提升了 8%~16%。
4. 流式数据湖:
与 Apache Paimon 社区紧密合作,优化了与 Paimon 数据源的交互,包括嵌套投影下推、查找连接性能提升以及简化的 Paimon 维表维护操作。
5. AI 支持:
Flink CDC 3.3 引入了在 Transform 表达式中动态调用 AI 模型的能力,原生支持 OpenAI 聊天和嵌入模型。Flink SQL 也引入了专门的 AI 模型语法,方便用户在 SQL 语句中调用 AI 模型。
6. 其他改进:
包括 DataStream V2 API(实验性)、SQL 网关支持应用程序模式、SQL 语法增强、Java 21 支持、序列化改进等。
重大变更:
包括 DataSet API、Scala DataStream 和 DataSet API、旧版 Source/Sink API、Table API 部分 API 的移除,以及部分配置选项和 REST API 的变更。 升级用户需要注意这些变更以确保平滑过渡。
Flink 2.0.0 的发布标志着实时数据处理进入了一个新的时代,它将帮助企业更有效率地利用实时数据,并更好地支持 AI 工作流。
来源:
flink.apache.org/2025/03/24/...
更多内容请查阅 : blog-250327