简述
近期,坊间传闻 Spring 要出核弹级 RCE 漏洞,今晚 Spring 官方发布了一个更新,似乎并没有直接指明该漏洞,只是给出了一个潜在的反序列化漏洞提醒,请大家理智看待,谨慎防范,切勿引起恐慌。
3月29日晚,墨菲安全实验室情报预警监控发现spring官方更新代码提示存在潜在的反序列化漏洞,该漏洞可能导致远程代码执行。墨菲安全提醒您可提前排查预防。
影响组件:org.springframework:spring-core
影响版本:当前所有版本均受影响,建议用户可提前进行排查处置
风险场景:当用户可控的输入传入到 SerializationUtils.deserialize 中时,可能执行任意代码
-
2.19日:开发者提出问题issue
-
3.29日:开发者提交代码提示潜在漏洞
官方提醒
如何快速排查
墨菲安全目前已支持该潜在风险识别,并提供一系列工具帮助您提前排查项目是否受到潜在影响。
说明:检测仅发生在您的本地环境中,不会上传任何代码至服务端
-
GitLab全量代码检测
使用基于墨菲安全CLI的检测工具,快速对您的GitLab上所有项目进行检测
工具地址:https://github.com/murphysecurity/murphysec-gitlab-scanner
具体使用方式可参考项目 README
2. 墨菲安全开源CLI工具
使用CLI工具,在命令行检测指定目录代码的依赖安全问题
工具地址:https://github.com/murphysecurity/murphysec
具体使用方式可参考项目 README 或官方文档
3. 墨菲安全 IDE 插件
在IDE 中即可检测代码依赖的安全问题,并通过准确的修复方案和一键修复功能,快速解决安全问题。
使用方式:
-
IDE插件中搜索“murphysec”即可安装
-
选择“点击开始扫描”,即可检测出代码中存在哪些安全缺陷组件
以上几种检测方式均可在墨菲安全平台上查看详细的检测结果,并可以查看项目的直接或间接依赖信息。
参考链接
https://github.com/spring-projects/spring-framework/commit/7f7fb58dd0dae86d22268a4b59ac7c72a6c22529
关于墨菲安全
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署。公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。
产品官网:https://murphysec.com
开源地址:https://github.com/murphysecurity/
原文始发于微信公众号(墨菲安全实验室):Spring 官方更新提示潜在反序列化漏洞,墨菲安全提醒您可提前排查预防,切勿恐慌
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论