突发!Spring疑似沦陷了。。。
上一篇:字节跳动面试经验总结,已顺利拿到offer!
前晚,一位搞安全的朋友给我发消息说,Spring 框架有个大瓜。。。
真香,刚刚经历了 log4j2 这个大雷(参考:Log4j 史诗级大雷,大厂都中招了! ),咱们 java 程序员引以为傲的Spring框架也报了RCE(远程命令执行),啪啪打脸~
目前,影响范围:JDK9、10、11 ,且使用了Spring框架。
之前 log4j2 爆出后,大部分企业都升级了JDK的版本,而这次 Spring RCE Leak 又刚好存在于高版本的 JDK 中。
因此,下面这两张图在安全圈子里面刷屏了,大家都调侃起来了~
同时朋友也给我发来了一条链接,Spring官方有一个提交疑似来解决 Spring RCE Leak。
https://github.com/spring-projects/spring-framework/commit/7f7fb58dd0dae86d22268a4b59ac7c72a6c22529
就以上这些信息看来,似乎确实是有问题!
但是官方目前并没有发声明,大家不用太担心。
临时修复方案
考虑到有些读者可能不放心,下面是我在网上看到的修复方案,大家可以参考一下。
需同时按以下两个步骤进行临时修复。
1、在应用中全局搜索@InitBinder注解,看看方法体内是否调用dataBinder.setDisallowedFields方法,如果发现有此代码片段的引入,则在原来的黑名单中,添加{"class.*","Class. *","*. class.*", "*.Class.*"},如果此代码片段使用较多,需要每个地方都追加。
2、在应用系统的项目包下新建以下全局类,并保证这个类被Spring 加载到,建议在controller所在的包中添加;另外,微信搜索公众号:互联网架构师,回复:面试 领取资料 完成类添加后,需对项目进行重新编译打包和功能验证测试,并重新发布项目,实例如下:
import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;
@ControllerAdvice
@Order(0)
public class GlobalControllerAdvice{
@InitBinder
public void setAllowedFields(webdataBinder dataBinder){String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};dataBinder.setDisallowedFields(abd);}
}
其实,如果有waf的话,也可以在waf中配置 class.*,Class.*,*.class.*,*.Class.* 字符串进行过滤。
感谢您的阅读,也欢迎您发表关于这篇文章的任何建议,关注我,技术不迷茫!小编到你上高速。
· END ·
最后,关注公众号互联网架构师,在后台回复:2T,可以获取我整理的 Java 系列面试题和答案,非常齐全。
正文结束
推荐阅读 ↓↓↓
1.救救大龄码农!45岁程序员在国务院网站求助总理!央媒网评来了...
2.如何才能成为优秀的架构师?
3.从零开始搭建创业公司后台技术栈
4.程序员一般可以从什么平台接私活?
5.37岁程序员被裁,120天没找到工作,无奈去小公司,结果懵了...
6.IntelliJ IDEA 2019.3 首个最新访问版本发布,新特性抢先看
7.这封“领导痛批95后下属”的邮件,句句扎心!
8.15张图看懂瞎忙和高效的区别!
突发!Spring疑似沦陷了。。。相关推荐
- 区块链每日快讯(0127)-火星人宣布退休,MDC项目疑似跑路
26号依然没有最终政策落地,看来最终政策还需要时间来进行确认. 区块链 1.火星人微博宣布退出区块链领域 近日火星人许子敬在朋友圈称要退出区块链投资领域. 而前不久火星人也清空了自己的全部微博,并退出 ...
- 27岁清华留美博士疑似跳机自杀!:常年被抑郁症困扰
视学算法报道 编辑:好困 LRS [新智元导读]2017年3月,一架飞机在加拿大坠毁,清华留美博士容新的生命永远定格在了27岁.然而,遗体的去向却始终是个迷.2021年12月,警方宣布,这个谜 ...
- MYSQL使用存储过程插入中文数据的疑似bug(UTF8)
数据库Connection和字段的字符集都采用utf-8. 开始使用存储过程插入数据,代码大约如下 MySqlCommand cmd = new MySqlCommand("apend_te ...
- 公安部全面查找改革开放以来失踪被拐儿童 失踪被拐儿童父母和疑似被拐人员快去采集DNA
[全面查找改革开放以来失踪被拐儿童 失踪被拐儿童父母和疑似被拐人员快去采集DNA]公安部26日召开新闻发布会,公安部刑事侦查局副局长童碧山表示,今年1月起,公安部部署全国公安机关开展以侦破拐卖儿童积案 ...
- 比特大陆新任CEO疑似曝光背后
2019独角兽企业重金招聘Python工程师标准>>> 火星财经报道,据区块链媒体<聪日报>消息,知情人称一位名为王海超的人士可能成为比特大陆的新任 CEO.目前所有公开 ...
- markdown 菜单 折叠_疑似三星Z Fold 3折叠屏手机专利公布 带有S pen手写笔存储槽_手机行情...
华强北电脑网10月30日消息 好像很多人对于三星note系列标配的S-Pen非常喜欢,同样对于三星Galaxy Z Fold系列折叠屏手机一样喜爱,可是二者不能兼得,目前只能二者选其一.但是现在有好消 ...
- 华为读取版本exe_关于esrv_svc.exe和SurSvc.exe疑似泄露用户信息的猜测
封面图片来源:https://www.weibo.com/1885454921/GpBhR3vpk?type=repost#_rnd1573301201348 抱歉,写网页文章的次数不多,排版没研究过 ...
- 互联网晚报 | 3月25日 星期五 | 私募大佬但斌疑似空仓;蔚来和小米汽车拟采用比亚迪电池...
但斌:仓位是比较低,大概在10%左右 市场有消息称,私募大佬但斌疑似空仓,上百只产品净值几乎零波动.对此,但斌回应称 "仓位应该是比较低,大概在10%左右."(第一财经) ...
- 互联网晚报 | 3月22日 星期二 | 工作人员标注mu5735残骸并展开调查;万门大学疑似解散VIP群跑路...
工作人员标注mu5735残骸并展开调查 目前,东航客机mu5735的搜救工作正在进行.进入mu5735核心救援现场看到,多处树木存在燃烧痕迹,飞机残骸散落各处.工作人员正对飞机残骸进行标注,并对 ...
- 以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司
本文讲的是以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司,攻击了至少14个国家的运营管理供应商(MSP)的黑客活动据称与"APT10"组织有关,而该组织一直被认为属于中国.事 ...
最新文章
- 解决Incorrect integer value: ‘‘ for column问题
- Eclipse快捷键壁纸-0基础必备
- 【渝粤教育】 国家开放大学2020年春季 2773特种动物养殖 参考试题
- 使用HP Vertica进行.NET编程
- centos 7安装java 8
- 外部表改为内部表_2、从外部导入数据创建表(ACCESS图解操作系列)
- Redis之listpack、rax
- 水滴动态IP:自动换IP软件哪个好用?换IP的原理是什
- selenium对Alert弹框的多种处理
- STM32CubeIDE使用总结(四)——遇到的问题
- Go基础(7)-golang面向对象三大特征(封装,继承,多态)
- SEM推广及广告投放数据分析及可视化
- 后端存储Base64码传输的图片
- 深度剖析钓鱼网站域名识别工具dnstwist
- IP协议+以太网协议
- ZJYYC 黄月英奇门遁甲 ZJYYC1301
- 矩阵的基本运算(相乘、相加、求逆、转置)
- fastapi身份认证
- 微信一年扫出多少个二维码?
- Windows Dll Injection、Process Injection、API Hook、DLL后门/恶意程序入侵技术