漏洞描述
漏洞详情
漏洞名称
发布时间
组件名称
影响范围
漏洞类型
利用条件
官方修复建议
目前,Spring官方无官方补丁。
漏洞检测方案
“四叶草资产安全评估系统”
临时修复方案
方案一
应用中全局搜索@InitBinder注解,看看方法体内是否调用dataBinder.setDisallowedFields方法,如果发现此代码片段的引入,则在原来的黑名单中,添加{"class.*","Class. *","*. class.*", "*.Class.*"}。(注:如果此代码片段使用较多,需要每个地方都追加)
在应用系统的项目包下新建以下全局类,并保证这个类被Spring加载到(推荐在Controller所在的包中添加)完成类添加后,需对项目进行重新编译打包和功能验证测试。
方案二
在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对“class.*”“Class.*”“*.class.*”“*.Class.*”等字符串的规则过滤,并在部署过滤规则后,对业务运行情况进行测试,避免产生影响。
西安四叶草信息技术有限公司(简称:四叶草安全)是一家领先的实战创新型网络安全企业,专业的网络安全综合解决方案提供商。公司秉承“以攻促防”的安全理念,站在用户角度以黑客视角帮助用户建立智能主动的安全防御体系以及攻防实战型人才培养,聚焦发展自主创新的核心安全能力,坚定不移的在黑客攻防对抗方向解决“卡脖子”类核心技术的突破,营造一个更安全、更美好的互联网世界。
成立于2012年的四叶草安全,立足西安、服务全国,保障过多项国家级重大活动,累计为5100多个用户项目提供技术服务和安全保障,同时旗下的感洞平台为1400多万互联网企业的资产安全风险持续保驾护航。
地址:西安市高新区软件新城 天谷八路156号 云汇谷C2楼1701室
网址:www.seclover.com
原文始发于微信公众号(四叶草安全):四叶草安全威胁漏洞情报 | Spring RCE远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论