解析Spring?漏洞及其修復(fù)方案
Spring社區(qū)發(fā)布了一篇名為《Spring Framework RCE, Early Announcement》的文章,官宣了最近網(wǎng)傳的Spring漏洞。攻擊者利用該漏洞,可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令。目前,漏洞利用細(xì)節(jié)已大范圍公開,好在Spring官方已發(fā)布補丁修復(fù)該漏洞。
漏洞分析
Spring框架(Framework)是一個開源的輕量級J2EE應(yīng)用程序開發(fā)框架,提供了IOC、AOP及MVC等功能,解決了程序人員在開發(fā)中遇到的常見問題,提高了應(yīng)用程序開發(fā)便捷度和軟件系統(tǒng)構(gòu)建效率。
2022年3月30日,CNVD平臺接收到螞蟻科技集團(tuán)股份有限公司報送的Spring框架遠(yuǎn)程命令執(zhí)行漏洞。由于Spring框架存在處理流程缺陷,攻擊者可在遠(yuǎn)程條件下,實現(xiàn)對目標(biāo)主機的后門文件寫入和配置修改,繼而通過后門文件訪問獲得目標(biāo)主機權(quán)限。使用Spring框架或衍生框架構(gòu)建網(wǎng)站等應(yīng)用,且同時使用JDK版本在9及以上版本的,易受此漏洞攻擊影響。這次確定的Spring核心框架中的RCE漏洞,CVE號為CVE-2022-22965
。
影響范圍
該漏洞的利用需要滿足下面的條件:
- JDK 9 +
- 使用Apache Tomcat部署
- 使用WAR方式打包
- 依賴spring-webmvc或spring-webflux
雖然,可能國內(nèi)大部分用戶還在用JDK 8、或者采用內(nèi)置Tomcat的方式運行,但由于該漏洞的特性比較普遍,不排除其他利用方式的存在。所以,DD還是建議在有條件的情況下,盡快升到最新版本來避免可能存在的風(fēng)險發(fā)生。
解決方案
目前,Spring官方已發(fā)布新版本完成漏洞修復(fù),CNVD建議受漏洞影響的產(chǎn)品(服務(wù))廠商和信息系統(tǒng)運營者盡快進(jìn)行自查,并及時升級至最新版本,升級情況如下:
- Spring 5.3.x用戶升級到5.3.18+
- Spring 5.2.x用戶升級到5.2.20+
- Spring Boot 2.6.x用戶升級到2.6.6+
- Spring Boot 2.5.x用戶升級到2.5.12+
參考資料:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://github.com/spring-projects/spring-framework/compare/v5.3.17…v5.3.18
到此這篇關(guān)于解析Spring 漏洞及其修復(fù)方案的文章就介紹到這了,更多相關(guān)Spring 漏洞修復(fù)內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
相關(guān)文章
vscode快速引入第三方j(luò)ar包發(fā)QQ郵件
這篇文章主要介紹了vscode快速引入第三方j(luò)ar包發(fā)QQ郵件,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2020-06-06idea快捷鍵生成getter和setter,有構(gòu)造參數(shù),無構(gòu)造參數(shù),重寫toString方式
這篇文章主要介紹了java之idea快捷鍵生成getter和setter,有構(gòu)造參數(shù),無構(gòu)造參數(shù),重寫toString方式,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教2023-11-11java客戶端Etcd官方倉庫jetcd中KeepAlive接口實現(xiàn)
這篇文章主要為大家介紹了java客戶端Etcd官方倉庫jetcd中KeepAlive接口實現(xiàn),有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,多多加薪2022-02-02@Transactional遇到try catch失效的問題
這篇文章主要介紹了@Transactional遇到try catch失效的問題及解決方案,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教2022-01-01獲取系統(tǒng)參數(shù)System.getProperties()與配置文件參數(shù)@Value(“${key}“)
這篇文章主要介紹了獲取系統(tǒng)參數(shù)System.getProperties()與配置文件參數(shù)@Value("${key}"),本文給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下2023-05-05深入理解SpringMVC的參數(shù)綁定與數(shù)據(jù)響應(yīng)機制
本文將深入探討SpringMVC的參數(shù)綁定方式,包括基本類型、對象、集合等類型的綁定方式,以及如何處理參數(shù)校驗和異常。同時,本文還將介紹SpringMVC的數(shù)據(jù)響應(yīng)機制,包括如何返回JSON、XML等格式的數(shù)據(jù),以及如何處理文件上傳和下載。2023-06-06spring security與corsFilter沖突的解決方案
這篇文章主要介紹了spring security與corsFilter沖突的解決方案,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教2021-11-11SpringMVC配置javaConfig及StringHttpMessageConverter示例
這篇文章主要介紹了SpringMVC配置javaConfig及StringHttpMessageConverter實現(xiàn)示例,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪2023-07-07