3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 ​

SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。

漏洞描述:

在Spring框架的JDK9及以上版本中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并 写入任意路径下的文件。

目前已知,触发该漏洞需要满足两个基本条件:

使用JDK9及以上版本的Spring MVC框架
Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class

漏洞影响范围:

JDK9及以上​

解决方案(临时):

卸载计算器即可
WAF临时策略

在WAF等网络防护设备上,根据实际部署业务的流量情况,过滤以下字符换

"class.*" , "Class.*" , "*.class.*" , "*.Class.*"

当然了,现在log4j漏洞已经有安全版本了,大家不防升级log4j至安全版本

1.2.17
2.12.4
2.17.1
2.3.2

​回滚JDK8即可免于影响,费点劲总比被揍强吧

对了,昨天有Github发表了一个关于spring的exp为有针对性的钓鱼木马,请大家昨日下载的人更改本地密码,及时进行应急处置

链接如下

https://github.com/shakeman8/Spring-Core-RCE(钓鱼)

Spring RCE 0day高危漏洞预警相关推荐

  1. Spring RCE 0day高危预警

    3月29日,Spring框架曝出RCE 0day漏洞.已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JD ...

  2. 突发!Spring Cloud 爆高危漏洞。。赶紧修复!!

    Spring Cloud 突发漏洞 Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway 又突发高危漏洞,又得折腾了... 2022年3月1日,Spring官方发布了关于Sp ...

  3. Spring Cloud 爆高危漏洞!!!

    今日推荐 最适合晚上睡不着看的 8 个网站,建议收藏哦 23 种设计模式的通俗解释,虽然有点污,但是秒懂请立即卸载这款 IDEA 插件!SQL自动检查神器,再也不用担心SQL出错了,自动补全.回滚等功 ...

  4. 2021年微软服务器出问题,2021年2月“微软补丁日”Windows 多个严重高危漏洞预警...

    漏洞描述 微软官方于2021年2月10日发布安全更新,其中修复了多个高危严重漏洞.在CVE-2021-24074 TCP/IP远程执行代码漏洞中,攻击者通过构造并发送恶意的IPv4数据包,从而控制目标 ...

  5. Spring 官宣高危漏洞 springboot 2.6.6 已修复

    前几天爆出来的 Spring 漏洞,刚修复完又来? 漏洞 CVE-2022-22965 漏洞名称 远程代码执行漏洞 严重级别 高危 影响范围 Spring Framework - 5.3.0 - 5. ...

  6. Apache Log4j2 RCE 命令执行漏洞预警及修复方案

    漏洞名称:Apache Log4j2远程代码执行漏洞 组件名称:Apache Log4j2 截止2021年12⽉10⽇,受影响的Apache log4j2版本: 2.0≤Apache Log4j< ...

  7. CVE漏洞—PHPCMS2008 /type.php代码注入高危漏洞预警

    11月4日,阿里云安全首次捕获PHPCMS 2008版本的/type.php远程GetShell 0day利用攻击,攻击者可以利用该漏洞远程植入webshell,导致文件篡改.数据泄漏.服务器被远程控 ...

  8. Spring Cloud Gateway高危漏洞修复方案

    小菜鸟的个人博客已经正式上线且对外开放啦- 博客访问地址:小菜鸟的大梦想 欢迎各位同学扫码关注本人公众号 ↓↓↓ 更多优质内容将 首发 公众号 2022年3月1日,Spring官方发布了关于Sprin ...

  9. linux安全软件 腾讯,腾讯安全团队发现一存在24年的Linux 0day高危漏洞

    腾讯安全团队近日向Linux社区提交了两个Linux X.25套接字漏洞,该漏洞可能造成权限提升,攻击者利用漏洞可能控制整个系统.漏洞风险等级为高,漏洞影响内核版本为2.1.16-5.9.8的Linu ...

  10. thinkphp日志泄漏漏洞_【Windows高危漏洞预警】CVE20200601,影响关键加密功能

    一.事件报告 2020年伊始,NSA发现了一个影响Microsoft Windows加密功能的严重漏洞(CVE-2020-0601).证书验证漏洞允许攻击者破坏Windows验证加密信任的方式,并且可 ...

最新文章

  1. javascript数组集锦
  2. LockSupport 使用
  3. 如何在Git中克隆单个分支?
  4. Android Weekly Notes Issue #226
  5. 大专普通本科、搞算法的(蓝桥杯、ACM、天梯赛)-后续成长之路
  6. 可以编辑的标签控件CStatic
  7. BZOJ.1007.[HNOI2008]水平可见直线(凸壳 单调栈)
  8. mybatisplus查询今天的数据_Spring系列——MybatisPlus
  9. 3.4 常用数据类型的输入 [原创Excel教程]
  10. linux版本即时通讯软件,Linux下即时通讯软件IM应用
  11. iOS从零开始,用Swift:iOS上的数据持久性和沙箱
  12. Qtum量子链发布QIP-6,通过预编译合约大幅降低开发成本
  13. 大物实验计算弹性模量_大学物理实验报告(清华大学)拉伸法测弹性模量.doc...
  14. maven打包时本地的jar包打不进去
  15. Qt中添加背景图片的方法
  16. 从高考到程序员,做自己就好
  17. 用Python查找关键字
  18. 【elasticsearch-5X安装SQL插件(三)】
  19. android双usb麦克风,双麦克风降噪设计
  20. 无授权转载:大神的日语学习方法

热门文章

  1. DaZeng:雪碧图(精灵图)的使用
  2. 设置Parallels Desktop中的Windows虚拟机使用Mac宿主机代理
  3. win10系统优化计算机,win10系统必做优化,让你的电脑告别卡顿,运行速度至少提升20%...
  4. 计算机存储容量的基本单位pb,pb存储单位是什么
  5. Windows 7和Windows10 修改文件、文本文档后缀时不显示后缀名真么办?
  6. busboy文件上传遇到的坑,已解决
  7. 如何压缩tiff图片?tif图片太大了怎么压缩?
  8. GaN制备Micro-led(二)——光子晶体倒装 Micro-LED 制备的关键工艺(纳米压印光刻、干法刻蚀、介质薄膜沉积、物理气相沉积)
  9. 【MATLAB】信号与系统 — 抽样函数
  10. 飞天特效腾云驾雾特效手机软件制作特效视频的教程