Spring4Shell常见问题解答:Spring 框架远程代码执行漏洞(CVE-2022-22965)

admin
admin
admin
138985
文章
114
评论
2022年4月1日11:21:04评论538 views字数 2014阅读6分42秒阅读模式

Spring4Shell的常见问题

什么是Spring4Shell?

Spring4Shell是Spring Core Framework中的一0day漏洞的昵称,Spring Core Framework是一个用于基于Java的开源企业应用程序的编程和配置模型,提供了IOC、AOP及MVC等功能,解决了程序人员在开发中遇到的常见问题,提高了应用程序开发便捷度和软件系统构建效率。

CVE和CNVD组织是否已分配漏洞编号?

编号CVE-2022-22965 与 CNVD-2022-23942已分配给此漏洞。Spring4Shell与Log4Shell相关吗?虽然这个名字本身是受Log4Shell(CVE-2021-44228)启发而来的,但两者并不相关。

Spring4Shell有可用的补丁吗?

截至 3 月 31 日,Spring Framework 已发布了修复此漏洞的5.3.18 和 5.2.20 版本。根据 Spring 的安全公告,Spring Boot 版本 2.6.6 和 2.5.12(均依赖 Spring Framework 5.3.18)也已经发布。如果用户暂时不能升级相关产品,请参阅Spring安全公告中的临时解决方案。

Spring4Shell有多严重?

攻击者可以通过向易受攻击的服务器发送特制请求来利用 Spring4Shell。但是利用 Spring4Shell 需要某些先决条件。根据 Spring 的公告,利用需要包含以下前提条件,但是公告也警告说,可能还存在其他方式利用此漏洞,因此此列表可能不是完整的要求列表:

  • Java 开发工具包 (JDK) 9 或更高版本
  • Apache Tomcat 作为 Servlet 容器
  • WAR打包
  • spring-webmvc 或 spring-webflux 依赖项
  • Spring Framework 版本 5.3.0 到 5.3.17,5.2.0 到 5.2.19 以及更早的版本

哪些版本的Spring Core Framework会受到影响?

截至 3 月 31 日,根据公告Spring Framework 5.3.0 到 5.3.17,5.2.0 到 5.2.19 以及更早的版本都会受此漏洞影响。

如果使用JDK 9+和Spring框架,我的应用程序是否易受攻击?

同时使用JDK 9+和Spring Framework并不一定等同于易受Spring4Shell攻击,因为需要对应用程序进行配置,使攻击者能够利用该漏洞。例如,Spring建议开发人员在使用DataBinder类时指定allowedFields属性。研究人员已经证实,不指定此属性可能会使攻击者利用Spring4Shell攻击易受攻击的应用程序。

Spring4Shell与CVE-2010-1622有什么关系?

Praetorian的研究人员已经证实Spring4Shell是CVE-2010-1622的一个补丁绕过,CVE-2010-1622是Spring核心框架中的一个代码注入漏洞,据报道已在近12年前修复。然而,研究人员表示,CVE-2010-1622的修复不完整,存在利用这一遗留缺陷的新途径。

Spring4Shell与CVE-2022-22963有关吗?

不,这是两个完全不相关的漏洞。CVE-2022-22963是Spring Cloud Function中的一个漏洞,Spring Cloud Function是一个无服务器框架,用于通过函数实现业务逻辑。3月29日发布了CVE-2022-22963的建议,并提供了Spring Cloud功能的补丁。由于在披露时没有为Spring4Shell指定CVE,Spring4Shell被错误地与CVE-2022-22963关联。

概念验证PoC攻击代码可用吗?

Spring4Shell和CVE-2022-22963已有多个概念验证PoC被公布,并且在持续增加。https://github.com/search?q=Spring4Shell

Spring4Shell常见问题解答:Spring 框架远程代码执行漏洞(CVE-2022-22965)

关于WAF 规则怎么设置?

对于拥有 WAF 技术的组织,字符串过滤器提供了有效的威慑,“class.”、“Class.”、“.class.”和“.Class.”。这些设置应该在生产部署之前进行测试,但它们是有效的缓解技术之一。

- END -

【往期推荐】

漏洞复现 | CVE-2022-24990信息泄露+RCE(POC已公开)

SpringBoot入门笔记第一篇 | 环境准备、构建项目、单元测试、热部署
漏洞复现 | CVE-2022-0847内核提权漏洞(POC已公开)
漏洞监控平台——Monitor(源码在文末)
使用poste搭建自己的邮件服务器
实战 | 一次杀猪盘的拿shell经历
DC-1靶机实战和分析
实战|一个表白墙引发的“血案”

原文始发于微信公众号(小艾搞安全):Spring4Shell常见问题解答:Spring 框架远程代码执行漏洞(CVE-2022-22965)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月1日11:21:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Spring4Shell常见问题解答:Spring 框架远程代码执行漏洞(CVE-2022-22965)https://cn-sec.com/archives/861508.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息