欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

解析Spring?漏洞及其修復方案

 更新時間:2022年04月02日 09:44:20   作者:xiangzhihong8  
官宣了最近網(wǎng)傳的Spring漏洞。攻擊者利用該漏洞,可在未授權(quán)的情況下遠程執(zhí)行命令,今天通過本文給大家普及下漏洞分析影響范圍及解決方案,感興趣的朋友跟隨小編一起看看吧

Spring社區(qū)發(fā)布了一篇名為《Spring Framework RCE, Early Announcement》的文章,官宣了最近網(wǎng)傳的Spring漏洞。攻擊者利用該漏洞,可在未授權(quán)的情況下遠程執(zhí)行命令。目前,漏洞利用細節(jié)已大范圍公開,好在Spring官方已發(fā)布補丁修復該漏洞。

漏洞分析

Spring框架(Framework)是一個開源的輕量級J2EE應(yīng)用程序開發(fā)框架,提供了IOC、AOP及MVC等功能,解決了程序人員在開發(fā)中遇到的常見問題,提高了應(yīng)用程序開發(fā)便捷度和軟件系統(tǒng)構(gòu)建效率。

2022年3月30日,CNVD平臺接收到螞蟻科技集團股份有限公司報送的Spring框架遠程命令執(zhí)行漏洞。由于Spring框架存在處理流程缺陷,攻擊者可在遠程條件下,實現(xiàn)對目標主機的后門文件寫入和配置修改,繼而通過后門文件訪問獲得目標主機權(quán)限。使用Spring框架或衍生框架構(gòu)建網(wǎng)站等應(yīng)用,且同時使用JDK版本在9及以上版本的,易受此漏洞攻擊影響。這次確定的Spring核心框架中的RCE漏洞,CVE號為CVE-2022-22965。

在這里插入圖片描述

影響范圍

該漏洞的利用需要滿足下面的條件:

  • JDK 9 +
  • 使用Apache Tomcat部署
  • 使用WAR方式打包
  • 依賴spring-webmvc或spring-webflux

雖然,可能國內(nèi)大部分用戶還在用JDK 8、或者采用內(nèi)置Tomcat的方式運行,但由于該漏洞的特性比較普遍,不排除其他利用方式的存在。所以,DD還是建議在有條件的情況下,盡快升到最新版本來避免可能存在的風險發(fā)生。

解決方案

目前,Spring官方已發(fā)布新版本完成漏洞修復,CNVD建議受漏洞影響的產(chǎn)品(服務(wù))廠商和信息系統(tǒng)運營者盡快進行自查,并及時升級至最新版本,升級情況如下:

  • Spring 5.3.x用戶升級到5.3.18+
  • Spring 5.2.x用戶升級到5.2.20+
  • Spring Boot 2.6.x用戶升級到2.6.6+
  • Spring Boot 2.5.x用戶升級到2.5.12+

參考資料:

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://github.com/spring-projects/spring-framework/compare/v5.3.17…v5.3.18

到此這篇關(guān)于解析Spring 漏洞及其修復方案的文章就介紹到這了,更多相關(guān)Spring 漏洞修復內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

最新評論