Spring框架RCE 0day漏洞,官方解决方案
3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响,目前官方仍未发布修复方案。
漏洞描述:
作为目前全球最受欢迎的Java轻量级开源框架,Spring允许开发人员专注于业务逻辑,简化Java企业级应用的开发周期。
但在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并 写入任意路径下的文件。
目前已知,触发该漏洞需要满足两个基本条件:
- 使用JDK9及以上版本的Spring MVC框架
- Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class
漏洞影响范围:
JDK9 <= Spring Cloud Function 执行“java-version”命令可查看JDK版本
解决方案(临时):
目前Spring官方并没有发布与此漏洞相关的补丁文件,相关漏洞POC也暂未被公开。考虑到自3月29日起已在小范围传播,鉴于Spring MVC的广泛应用,各企业仍需警惕远程攻击者,并采用广东省网络安全应急响应中心公布临时方案加强防护。FreeBuf将密切关注Spring官方的补丁发布情况。
临时方案1:WAF临时策略
在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对
“class.*”,“Class.*”,“*.class.*”,“*.Class.*”
等字符串的规则过滤,并在部署过滤规则后,对业务允许情况进行测试,避免产生额外影响。
临时方案2:临时缓解措施
在应用系统的项目包下新建以下全局类,并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加).完成类添加后,需对项目进行重新编译打包和功能验证测试。并重新发布项目。
import org.springframework.core.annotation.Order; import org.springframework.web.bind.WebDataBinder; import org.springframework.web.bind.annotation.ControllerAdvice; import org.springframework.web.bind.annotation.InitBinder; @ControllerAdvice @Order(10000) public class a{ @InitBinder public void setAllowedFields(WebDataBinder dataBinder) { String[] abd = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"}; dataBinder.setDisallowedFields(abd); } }
官方回复解决方案
晚间,Spring社区承认漏洞存在,该漏洞主要影响在JDK 9+上运行的Spring MVC和Spring WebFlux应用程序。受影响的用户可以通过以下方法规避该漏洞风险:Spring 5.3.x用户升级到5.3.18+、Spring 5.2.x用户升级到5.2.20+、Spring Boot 2.6.x用户升级到2.6.6+、Spring Boot 2.5.x用户升级到2.5.12+。详情可查看Spring社区的官方说明:https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
Spring框架RCE 0day漏洞,官方解决方案相关推荐
- Spring 框架RCE 安全漏洞及解决方式
继2021年底由阿里发现的Log4j的严重漏洞之后, Spring框架也被发现了一个重大的安全漏洞.目前这个漏洞的名称被称为"SpringShell: Spring Core RCE 0-d ...
- Java 轻量级框架Spring曝出0day漏洞
首语 3月29日,Spring框架曝出RCE 0day漏洞.已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使 ...
- HPE 发布严重的 RCE 0day 漏洞,影响服务器管理软件 SIM,无补丁
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 惠普企业 (HPE) 在专有的 HPE Systems Insight Manager (SIM) 软件(Windows 和 Linu ...
- WiFiDemon – iOS WiFi RCE 0-Day漏洞利用
近日,ZecOps安全研究人员发现了iOS WiFi命名漏洞的零交互攻击利用方式,可以用来远程劫持iPhone设备. Wi-Fi-Demon Wifid 是处理与WiFi连接相关的协议的系统daemo ...
- 紧急:Spring框架被爆出存在0day级别远程命令执行漏洞。漏洞危害程度不亚于log4j漏洞根据目前掌握的信息,JDK版本在9及以上的Spring框架均受影响。该漏洞目前无官方修复补丁
Spring框架被爆出存在0day级别远程命令执行漏洞.漏洞危害程度不亚于log4j漏洞根据目前掌握的信息,JDK版本在9及以上的Spring框架均受影响. 漏洞信息和漏洞影响排查方法如下: 漏洞名称 ...
- Spring RCE 0day高危预警
3月29日,Spring框架曝出RCE 0day漏洞.已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JD ...
- FastJSON的0day漏洞报告
一.问题背景 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有 ...
- RedMonk最新编程语言排行榜;Spring 框架现 RCE 漏洞……|叨资讯
点击关注强哥,查看更多精彩文章呀 哈喽,大家好,我是强哥. Spring 框架现 RCE 漏洞:按月租用iPhone手机.随时能换新款:俄罗斯或将转用 HarmonyOS:Chrome 100发布:R ...
- Spring 框架更新了一条可能造成 RCE(远程命令执行漏洞)
今天 Spring 框架更新了一条可能造成 RCE(远程命令执行漏洞)的问题代码,如图: 随即在国内安全圈炸开了锅,大家纷纷转发一张图: 上次因为核弹级漏洞 log4j2 的 POC 公开,大批企业为 ...
- 漏洞升级?黑客可利用 Spring 框架漏洞部署 Mirai 恶意软件
整理 | 苏宓 出品 | CSDN(ID:CSDNnews) 还记得不久之前 Java 圈中惊爆的 Spring 框架漏洞吗?得益很多人使用了 JDK 9 以下的版本.Spring 框架的最新版本,截 ...
最新文章
- 跨平台PHP调试器设计及使用方法——探索和设计
- elasticsearch系列(七)java定义score
- pythorch创建简单的神经网络源码
- lucene底层数据结构——底层filter bitset原理,时间序列数据压缩将同一时间数据压缩为一行...
- 机器学习算法加强——提升
- 哪吒之魔童降世视听语言影评_国漫神作 再造辉煌——《哪吒之魔童降世》影评...
- PHP(Thinkphp框架)将数据表导出csv文件
- keras环境搭建 [过程记录]
- java default parameter_Java Parameter.DefaultBounds方法代码示例
- java基本类型的默认值及其取值范围
- mysql range代表什么意思_MySQL数据表range分区例子
- 从一个故事开始谈项目与团队管理
- linux 网络监控 邮件,一种基于Linux的邮件监控方法与流程
- java.lang.ClassNotFoundException: oracle.jdbc.driver.OracleDriver
- Android原生游戏开发:使用JustWeEngine开发微信打飞机
- Python每日一记179文氏图绘制
- CSScript 使用纪要
- openFOAM C++代码的一些特性
- 005. 关于海淘的那些窍门和段子
- java禅道_使用Java+Excel统计禅道上问题处理情况