欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

解析Spring?漏洞及其修復(fù)方案

 更新時間:2022年04月02日 09:44:20   作者:xiangzhihong8  
官宣了最近網(wǎng)傳的Spring漏洞。攻擊者利用該漏洞,可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令,今天通過本文給大家普及下漏洞分析影響范圍及解決方案,感興趣的朋友跟隨小編一起看看吧

Spring社區(qū)發(fā)布了一篇名為《Spring Framework RCE, Early Announcement》的文章,官宣了最近網(wǎng)傳的Spring漏洞。攻擊者利用該漏洞,可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令。目前,漏洞利用細(xì)節(jié)已大范圍公開,好在Spring官方已發(fā)布補丁修復(fù)該漏洞。

漏洞分析

Spring框架(Framework)是一個開源的輕量級J2EE應(yīng)用程序開發(fā)框架,提供了IOC、AOP及MVC等功能,解決了程序人員在開發(fā)中遇到的常見問題,提高了應(yīng)用程序開發(fā)便捷度和軟件系統(tǒng)構(gòu)建效率。

2022年3月30日,CNVD平臺接收到螞蟻科技集團(tuán)股份有限公司報送的Spring框架遠(yuǎn)程命令執(zhí)行漏洞。由于Spring框架存在處理流程缺陷,攻擊者可在遠(yuǎn)程條件下,實現(xiàn)對目標(biāo)主機的后門文件寫入和配置修改,繼而通過后門文件訪問獲得目標(biāo)主機權(quán)限。使用Spring框架或衍生框架構(gòu)建網(wǎng)站等應(yīng)用,且同時使用JDK版本在9及以上版本的,易受此漏洞攻擊影響。這次確定的Spring核心框架中的RCE漏洞,CVE號為CVE-2022-22965。

在這里插入圖片描述

影響范圍

該漏洞的利用需要滿足下面的條件:

  • JDK 9 +
  • 使用Apache Tomcat部署
  • 使用WAR方式打包
  • 依賴spring-webmvc或spring-webflux

雖然,可能國內(nèi)大部分用戶還在用JDK 8、或者采用內(nèi)置Tomcat的方式運行,但由于該漏洞的特性比較普遍,不排除其他利用方式的存在。所以,DD還是建議在有條件的情況下,盡快升到最新版本來避免可能存在的風(fēng)險發(fā)生。

解決方案

目前,Spring官方已發(fā)布新版本完成漏洞修復(fù),CNVD建議受漏洞影響的產(chǎn)品(服務(wù))廠商和信息系統(tǒng)運營者盡快進(jìn)行自查,并及時升級至最新版本,升級情況如下:

  • Spring 5.3.x用戶升級到5.3.18+
  • Spring 5.2.x用戶升級到5.2.20+
  • Spring Boot 2.6.x用戶升級到2.6.6+
  • Spring Boot 2.5.x用戶升級到2.5.12+

參考資料:

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://github.com/spring-projects/spring-framework/compare/v5.3.17…v5.3.18

到此這篇關(guān)于解析Spring 漏洞及其修復(fù)方案的文章就介紹到這了,更多相關(guān)Spring 漏洞修復(fù)內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • vscode快速引入第三方j(luò)ar包發(fā)QQ郵件

    vscode快速引入第三方j(luò)ar包發(fā)QQ郵件

    這篇文章主要介紹了vscode快速引入第三方j(luò)ar包發(fā)QQ郵件,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2020-06-06
  • java Matcher匹配頭尾截取替換字符串的案例

    java Matcher匹配頭尾截取替換字符串的案例

    這篇文章主要介紹了java Matcher匹配頭尾截取替換字符串的案例,具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2020-12-12
  • idea快捷鍵生成getter和setter,有構(gòu)造參數(shù),無構(gòu)造參數(shù),重寫toString方式

    idea快捷鍵生成getter和setter,有構(gòu)造參數(shù),無構(gòu)造參數(shù),重寫toString方式

    這篇文章主要介紹了java之idea快捷鍵生成getter和setter,有構(gòu)造參數(shù),無構(gòu)造參數(shù),重寫toString方式,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
    2023-11-11
  • java客戶端Etcd官方倉庫jetcd中KeepAlive接口實現(xiàn)

    java客戶端Etcd官方倉庫jetcd中KeepAlive接口實現(xiàn)

    這篇文章主要為大家介紹了java客戶端Etcd官方倉庫jetcd中KeepAlive接口實現(xiàn),有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,多多加薪
    2022-02-02
  • @Transactional遇到try catch失效的問題

    @Transactional遇到try catch失效的問題

    這篇文章主要介紹了@Transactional遇到try catch失效的問題及解決方案,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2022-01-01
  • 獲取系統(tǒng)參數(shù)System.getProperties()與配置文件參數(shù)@Value(“${key}“)

    獲取系統(tǒng)參數(shù)System.getProperties()與配置文件參數(shù)@Value(“${key}“)

    這篇文章主要介紹了獲取系統(tǒng)參數(shù)System.getProperties()與配置文件參數(shù)@Value("${key}"),本文給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2023-05-05
  • 深入理解SpringMVC的參數(shù)綁定與數(shù)據(jù)響應(yīng)機制

    深入理解SpringMVC的參數(shù)綁定與數(shù)據(jù)響應(yīng)機制

    本文將深入探討SpringMVC的參數(shù)綁定方式,包括基本類型、對象、集合等類型的綁定方式,以及如何處理參數(shù)校驗和異常。同時,本文還將介紹SpringMVC的數(shù)據(jù)響應(yīng)機制,包括如何返回JSON、XML等格式的數(shù)據(jù),以及如何處理文件上傳和下載。
    2023-06-06
  • JavaWeb中的Cookie和Session解讀

    JavaWeb中的Cookie和Session解讀

    這篇文章主要介紹了JavaWeb中的Cookie和Session解讀,Cookie是servlet發(fā)送到Web瀏覽器的少量信息,該信息由瀏覽器保存,然后發(fā)送回服務(wù)器,一般情況下,Cookie是以鍵值對進(jìn)行表示的,Cookie的值可以唯一地標(biāo)識客戶端,因此Cookie常用于會話管理,需要的朋友可以參考下
    2023-10-10
  • spring security與corsFilter沖突的解決方案

    spring security與corsFilter沖突的解決方案

    這篇文章主要介紹了spring security與corsFilter沖突的解決方案,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2021-11-11
  • SpringMVC配置javaConfig及StringHttpMessageConverter示例

    SpringMVC配置javaConfig及StringHttpMessageConverter示例

    這篇文章主要介紹了SpringMVC配置javaConfig及StringHttpMessageConverter實現(xiàn)示例,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-07-07

最新評論