CVE-2023-34050 是Spring AMQP 项目中的反序列化漏洞,Spring AMQP 项目是用于开发消息传递解决方案的流行 Java 库。该漏洞允许攻击者通过发送特制消息将恶意代码注入 Spring AMQP 应用程序。然后,恶意代码可以在应用程序服务器上执行,从而可能使攻击者控制服务器。
这种担忧的根本原因是来自不可信发件人的消息中的数据被反序列化。尽管 Spring AMQP 早在 2016 年就集成了适合反序列化的类名的允许列表模式,但它存在一个巨大的漏洞。在未指定允许列表的情况下,系统默认允许所有类的反序列化。
这意味着如果出现以下情况,应用程序就容易被利用:
-
使用 SimpleMessageConverter 或 SerializerMessageConverter
-
用户未配置允许列表模式
-
不受信任的消息发起者获得将消息写入 RabbitMQ 代理以发送恶意内容的权限
Spring AMQP 版本从 1.0.0 到 2.4.16 以及 3.0.0 到 3.0.9 容易受到 CVE-2023-34050 的影响。
如果您怀疑您的系统可能容易受到影响,请考虑以下缓解措施:
-
限制:不要授予不受信任的实体访问您的 RabbitMQ 服务器的权限。
-
升级:使用 2.4.17 之前版本的用户应立即过渡到 2.4.17。同样,如果您的系统运行在 3.0.0 到 3.0.9 之间的版本,请考虑升级到 3.0.10。Spring Boot 的依赖管理将自动获取这些修正版本,从 Boot 版本 2.7.17、3.0.12、3.1.5 和 3.2.0 开始。
-
强制类名称模式:允许的类名称模式现在已成为一项要求。
但是,如果由于某种原因您希望恢复到全信任模式,您可以调整全局环境或系统属性。更多详细信息可以在Java 反序列化文档部分找到。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):CVE-2023-34050:Spring AMQP 反序列化漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论