Spring 远程代码执行漏洞
Spring 是目前主流的 Java EE 轻量级开源框架 ,是 Java 开发者们使用最广泛的 Web 框架之一。
2022 年 3 月 31 日,Spring 官方发布安全通告,修复了一处远程代码执行漏洞:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
漏洞描述
Spring MVC 支持用户在处理请求的路由方法中传入自定义的 Java Bean 对象,而漏洞就源于在解析用户参数、构建 Java Bean 对象的过程中,由于 Spring Bean 解析参数时安全校验不严格,在服务端为 Java 9 或者以上版本的环境下,攻击者可以绕过安全校验,调用非预期的对象方法,最终可造成远程代码执行等危害。
影响范围
此漏洞影响使用 Java 9 或以上版本运行的 Spring 服务程序。
注意:使用 Java 8 及之前版本运行的 Spring 程序不受漏洞影响。
解决方案
目前官方已经发布补丁,可升级 Spring到 5.3.18 或 5.2.20 安全版本进行漏洞修复。
如若无法通过更新升级进行漏洞修复,可参考 Spring 官方给出的临时缓解方案:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#suggested-workarounds
产品支持
雷池:提供虚拟补丁进行检测防护(于2022年3月30日凌晨已推送),亦可咨询长亭科技技术支持工程师获取。
牧云:提供应用版本监控和漏洞检测,可对服务器进行持续监测和漏洞识别,可咨询长亭科技技术支持工程师获取更新补丁。
参考资料
-
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
原文始发于微信公众号(长亭安全课堂):漏洞风险提示 | Spring 远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论