【天问】新增Spring Framework 远程代码执行漏洞纯离线一键排查解决方案

 工具信息

工具SHA1:【eda65a95b0b5ae1ddc36c85210631706ac1cafe2】
工具版本: 1.0.0
下载链接：springfind-1.0.0.tgz【若已登录天问可直接点击下载】

天问登录/注册

访问(天问平台），点击右上角登录平台，未注册账号的用户利用邀请码“66f6c4d2838cf5eb0b73ef58e1836cc6”注册平台账号，登录之后点击“软件测试”功能菜单，即可下载离线专查工具。

2022年04月1日，奇安信天问平台推出业界首个Spring Framework 远程代码执行漏洞一键排查解决方案，支持在线和离线两种检测模式，帮助广大用户快速判断自身在用软件系统是否受该漏洞影响。

漏洞描述

近日Spring Framework 发现存在远程代码执行漏洞，由于历史漏洞修复代码存在缺陷，在 JDK 9 及以上版本环境下，远程攻击者可借助某些中间件构造数据包修改日志文件，从而实现远程代码执行。该漏洞影响 Spring Framework 下的众多组件，漏洞影响面大，危害性高，建议客户尽快自查在用软件系统是否受影响，采取措施防护此漏洞。

影响范围

Spring Framework 5.3.X < 5.3.18 

Spring Framework 5.2.X < 5.2.20

注：其他小版本未更新均受影响

修复方案

目前，Spring官方已发布漏洞修复版本，请用户及时更新至最新版本。

https://github.com/spring-projects/spring-framework/tags

安全版本：

    SpringFramework == 5.3.18

    SpringFramework == 5.2.20

升级方式：

1.通过Maven更新Spring版本：

    <properties>

       <spring-framework.version>5.3.18</spring-framework.version>

    </properties>

2.通过Gradle更新Spring版本：

    ext['spring-framework.version']= '5.3.18'

如何利用天问进行排查

奇安信天问软件供应链安全分析系统是奇安信技术研究院自研的，集二进制软件分析、软件空间测绘、软件生态监测于一体的软件供应链安全分析系统。天问系统拥有总量超过2000万的软件空间测绘数据库，支持静态依赖、动态依赖、释放生成等数千万依赖关系；支持PE、ELF、JAR等十余种主流二进制格式文件的软件成分分析；广泛支持桌面软件、系统软件、安卓APP、安卓ROM镜像、PyPI包、NodeJS包等不同类型软件的软件空间测绘；支持Windows、Linux、Android等主流系统平台的软件供应链安全分析。

目前，奇安信天问软件供应链安全分析系统已全面支持Spring Framework 远程代码执行漏洞的检测。不同于其他通过网络扫描进行Spring Framework 远程代码执行漏洞检测的工具，天问平台通过扫描待测软件的可执行代码，利用二进制程序分析技术，识别程序中是否使用了Spring Framework组件，或者是包含了Spring Framework相关的代码，若发现程序中存在Spring Framework组件，则进一步通过代码特征匹配技术，识别其中Spring Framework组件的具体版本，再结合软件漏洞知识库，判断该Spring Framework组件是否受远程代码执行漏洞的影响。因此，天问平台的检测结果更可靠，也没有远程探测可能导致的实际触发漏洞的风险。

对于在线检测，用户可以访问天问平台（https://tianwen.qianxin.com），点击右上角登录平台，未注册账号的用户利用邀请码“66f6c4d2838cf5eb0b73ef58e1836cc6”注册平台账号，登录之后点击“软件测试”功能菜单，将待测软件打包上传到天问平台，耐心等待平台分析完毕，即可查看详细的检测结果，检查待测软件是否受漏洞影响。

此外，对于有需要的用户，天问平台还提供离线分析工具，可以使用工具离线分析待测软件生成分析日志，然后将分析日志上传到天问平台查询待测软件的检测结果。