但两位大佬都没有透露这次漏洞更详细的信息。只有网友问了一句:“有log4j那么大吗?”。云舒大佬的回复是:“更大”。
之后,又有安全大佬sunwear(就之前那个因为上海银行工作人员服务态度差,而直接怒取500万现金的大佬,具体什么故事如果你不知道可以百度一下,这里DD就不细说了)给了一些更细节的信息:
所以漏洞影响范围,可以缩小到使用Java 9+和Spring的项目上了。
此时就有网友开始结合之前log4j漏洞的信息开始调侃了:
其实到这里,不少小伙们其实已经松了一口气了,因为国内大部分地方还是在用Java 8。这点DD深有体会,因为每次发布Java新版本资讯的时候,一直都有小伙伴反馈,不会升级,版本任你发,我用Java 8。
反正也睡着,DD想着继续搜搜相关信息吧。然后发现了Spring官方最近有这样一个提交:
从提交信息来看,是解决某个RCE漏洞问题的。所以,大概很可能就是这个了吧?感兴趣的小伙伴,可以通过下面的链接查看具体信息。
https://github.com/spring-projects/spring-framework/commit/7f7fb58dd0dae86d22268a4b59ac7c72a6c22529
刚已经定时了这篇推文的,还没发出去前正好有网友发了一些临时解决方案。所以这里在目前网传的一些缓解方法:
WAF防御
在WAF中配置class.*,Class.*,*.class.*,*.Class.*
字符串的过滤规则。
代码缓解
在Spring项目中搜索@InitBinder
注解,看方法体中是否有dataBinder.setDisallowedFields
方法,有的话就把这些规则加入{"class.*","Class.*","*.class.*","*.Class.*"}
。
由于具体的细节还没有公布,以上内容均来源网络与猜测。主要作为前期参考,具体的还是以后续官方公布的信息为主。关注该事件的小伙伴可以文末关注我,这边会持续关注,有最新信息就与大家同步。
推荐
原文始发于微信公众号(程序员泥瓦匠):Spring 疑似存在核弹级漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论