快捷導(dǎo)航

解析Spring?漏洞及其修復(fù)方案

更新時(shí)間：2022年04月02日 09:44:20 作者：xiangzhihong8

官宣了最近網(wǎng)傳的Spring漏洞。攻擊者利用該漏洞，可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令，今天通過(guò)本文給大家普及下漏洞分析影響范圍及解決方案，感興趣的朋友跟隨小編一起看看吧

Spring社區(qū)發(fā)布了一篇名為《Spring Framework RCE, Early Announcement》的文章，官宣了最近網(wǎng)傳的Spring漏洞。攻擊者利用該漏洞，可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令。目前，漏洞利用細(xì)節(jié)已大范圍公開(kāi)，好在Spring官方已發(fā)布補(bǔ)丁修復(fù)該漏洞。

漏洞分析

Spring框架（Framework）是一個(gè)開(kāi)源的輕量級(jí)J2EE應(yīng)用程序開(kāi)發(fā)框架，提供了IOC、AOP及MVC等功能，解決了程序人員在開(kāi)發(fā)中遇到的常見(jiàn)問(wèn)題，提高了應(yīng)用程序開(kāi)發(fā)便捷度和軟件系統(tǒng)構(gòu)建效率。

2022年3月30日，CNVD平臺(tái)接收到螞蟻科技集團(tuán)股份有限公司報(bào)送的Spring框架遠(yuǎn)程命令執(zhí)行漏洞。由于Spring框架存在處理流程缺陷，攻擊者可在遠(yuǎn)程條件下，實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的后門(mén)文件寫(xiě)入和配置修改，繼而通過(guò)后門(mén)文件訪問(wèn)獲得目標(biāo)主機(jī)權(quán)限。使用Spring框架或衍生框架構(gòu)建網(wǎng)站等應(yīng)用，且同時(shí)使用JDK版本在9及以上版本的，易受此漏洞攻擊影響。這次確定的Spring核心框架中的RCE漏洞，CVE號(hào)為CVE-2022-22965。

在這里插入圖片描述

影響范圍

該漏洞的利用需要滿足下面的條件：

JDK 9 +
使用Apache Tomcat部署
使用WAR方式打包
依賴spring-webmvc或spring-webflux

雖然，可能?chē)?guó)內(nèi)大部分用戶還在用JDK 8、或者采用內(nèi)置Tomcat的方式運(yùn)行，但由于該漏洞的特性比較普遍，不排除其他利用方式的存在。所以，DD還是建議在有條件的情況下，盡快升到最新版本來(lái)避免可能存在的風(fēng)險(xiǎn)發(fā)生。