【Java】代码中的安全漏洞解决合集(更新中)
汝之观览,吾之幸也!本文主要讲解Java的一些安全漏洞,并且给出浅知的解决方案。
具体国内的风险可查看网址工业和信息化部网络安全威胁和漏洞信息共享平台
1、Spring Framework反射型文件下载漏洞(CVE-2020-5421)
漏洞危害描述
Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现,一般被直接称为 Spring,该框架提供了一种简易的开发方式,可避免那些可能致使底层代码变得繁杂混乱的大量的属性文件和帮助类,被大量的Java开发工作者采用。利用本次公布的漏洞,攻击者可绕过RFD攻击防御,进行反射型文件下载攻击,风险较高。观安信息研究院建议广大用户尽快进行资产自查及预防工作,及时进行版本更新,以免遭受恶意攻击。
本次公布的漏洞存在于Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中。利用该漏洞可通过jsessionid路径参数,绕过防御RFD攻击的保护。攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。
影响版本:
Spring Framework 5.2.0 – 5.2.8
Spring Framework 5.1.0 – 5.1.17
Spring Framework 5.0.0 – 5.0.18
Spring Framework 4.3.0 – 4.3.28
以及其他已不受支持的版本
漏洞解决方案
更改版本
Spring Framework 5.2.9
Spring Framework 5.1.18
Spring Framework 5.0.19
Spring Framework 4.3.29
<dependency><groupId>org.springframework</groupId><artifactId>spring-web</artifactId><version>5.2.9.RELEASE</version>
</dependency>
将涉及到spring-web jar的进行屏蔽 如:spring-boot-starter、spring-boot-starter-quartz、
spring-boot-starter-data-redis、spring-boot-starter-websocket、spring-boot-starter-web
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter</artifactId><exclusions><exclusion><groupId>org.springframework</groupId><artifactId>spring-web</artifactId></exclusion></exclusions>
</dependency>
2、MyBatis 远程代码执行漏洞(CVE-2020-26945)
漏洞危害描述
MyBatis是美国阿帕奇(Apache)软件基金会的一款优秀的持久层框架。支持自定义SQL、存储过程以及高级映射,免除了几乎所有的JDBC代码以及设置参数和获取结果集的工作,可以通过简单的XML或注解来配置和映射原始类型、接口和Java POJO(Plain Old Java Objects,普通老式Java对象)为数据库中的记录,在国内被广泛使用。该漏洞影响范围广,风险性高,为避免业务受影响,建议受影响的用户尽快升级至安全版本,做好资产自查及预防工作,避免被外部攻击者入侵。
MyBatis 3.5.6之前版本存在安全漏洞,该漏洞源于错误处理对象流的反序列化。
该漏洞被成功利用,需满足以下的前提条件:
1)用户启用了内置的二级缓存;
2)用户未设置JEP-290过滤器;
3)攻击者获取了修改私有Map字段条目的方法,即修改org.apache.ibatis.cache.impl.PerpetualCache.cache有效的缓存密钥。
影响版本:
Mybatis < 3.5.6
漏洞解决方案
升级版本
Mybatis 3.5.6
<dependency><groupId>org.mybatis</groupId><artifactId>mybatis</artifactId><version>3.5.6</version>
</dependency>
将涉及到mybatis jar的进行屏蔽 如:mybatis-spring-boot-starter、mybatis-plus-generator
<dependency><groupId>org.mybatis.spring.boot</groupId><artifactId>mybatis-spring-boot-starter</artifactId><exclusions><exclusion><groupId>org.mybatis</groupId><artifactId>mybatis</artifactId></exclusion></exclusions>
</dependency>
【Java】代码中的安全漏洞解决合集(更新中)相关推荐
- 前端面试合集(更新中……)
文章目录 一.CSS ```1.display:none.visibility:hidden和opacity: 0的区别?``` 二.JavaScript ```1.说一说JS数据类型有哪些,区别是什 ...
- 【剑指offer】【leetcode精选题集】【Java】剑指offer题解合集 更新中
Leetcode题集 [剑指offer][JAVA]面试题第[03]题[数组中的重复数字][HashSet] [剑指offer][JAVA]面试题第[04]题[二维数中的查找][数组] [剑指offe ...
- 小程序 - 效果处理之技巧合集(更新中...)
巧用Console.log(event) Event::事件对象,方法在执行的时候,当前环境携带的一些信息 可以打印出来.获取很多信息,根据这些信息再度寻找你需要的信息的路径.如小程序里的event. ...
- 薅羊毛常见问题合集——更新中
文章目录
- 苹果使用过程中的小技巧(合集)
苹果使用过程中的小技巧(合集) 苹果机通电开机后,底层会进行一系列自检,若能通过,就回听到那有名的"咚...", 然后由openfirm引导OS启动. 如果自检遇到问题,则会发出1 ...
- mysql insert 主键冲突_在MySql中建立存储过程和解决insert into select 中主键冲突的有关问题...
首先说需求,我想重复插入大量数据,那么首先想到的,就是用insert into select语句. 但是因为mysql中没有将主键设为自增长,导致每次都会报主键冲突的错误,插入失败. 对于这个问题,就 ...
- 原生JS中DOM节点相关API合集
原生JS中DOM节点相关API合集 节点属性 Node.nodeName //返回节点名称,只读 Node.nodeType //返回节点类型的常数值,只读 Node.nodeValue //返回Te ...
- CSS兼容性问题的解决方式(更新中···)
CSS兼容性问题的解决方式(更新中···) 参考文章: (1)CSS兼容性问题的解决方式(更新中···) (2)https://www.cnblogs.com/zff123/p/9769042.htm ...
- 终于解决 k8s 集群中部署 nodelocaldns 的问题
终于解决 k8s 集群中部署 nodelocaldns 的问题 参考文章: (1)终于解决 k8s 集群中部署 nodelocaldns 的问题 (2)https://www.cnblogs.com/ ...
最新文章
- jstree中文api文档_开发中文 API 的一些策略
- 2019-2020 ACM-ICPC Brazil Subregional Programming Contest
- 在sql查询中使用表变量
- 有没有必要开项目周会
- 【数据结构与算法】之深入解析“Z字形变换”的求解思路和算法示例
- 地图投影系列介绍(二)----地理坐标系
- Intel Sandy Bridge/Ivy Bridge架构/微架构/流水线 (10) - 乱序引擎概述
- 工作中不要扯虎皮吓唬人
- 东莞理工学院计算机学院论文,东莞理工学院本科生毕业设计(论文)重复率检测实施办法(试行)...
- 慕课版软件质量保证与测试(第四章.课后作业)
- 基于C51控制蜂鸣器
- VMware虚拟机中Linux系统如何修改IP地址
- 网页中那些遇到过的导航选中状态actived selected
- 21款奔驰S400商务型升级原厂HUD抬头显示系统,提升行车安全性
- Apache Structured Streaming_JZZ158_MBY
- 帝骑k触屏模拟器_终骑diend模拟器
- getchar()函数的使用方法
- libs--libnet
- python3常用标准库
- Manjaro 安装后的设置