Cinque Terre
  • 设为首页
  • |
  • 加入收藏

信息安全

信息安全 首页 > 信息安全 > 信息安全 > 正文

【安全通告】Spring RCE 0day 漏洞

发布时间:2022-03-31 浏览次数:

预警背景描述

近日,Spring 框架曝出 RCE 0day 漏洞,由于 Spring 框架应用广泛,所以此漏洞危害极大。

预警描述

Spring 框架是目前全球最受欢迎的 Java 轻量级开源框架,允许开发人员专注于业务逻辑,简化 Java 企业级应用的开发周期。

Spring 框架曝出 RCE 0day 漏洞,在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取 AccessLogValve 对象并诸如恶意字段值,从而触发 pipeline 机制并写入任意路径下的文件。

目前已知,触发该漏洞需要满足两个基本条件:

1、使用 JDK9 及以上版本的 Spring MVC 框架

2、Spring 框架以及衍生的框架 spring-beans-*.jar 文件或者存在 CachedIntrospectionResults.class

漏洞危害

攻击者成功利用该漏洞可实现任意代码执行。

受影响范围

JDK9

执行“java-version” 命令可查看 JDK 版本

修复建议

目前Spring 官方并没有发布与此漏洞相关的补丁文件,可采用下列临时方案进行防护:

临时方案1:WAF临时策略

在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对“class.*”,“Class.*”,“*.class.*”,“*.Class.*”等字符串的规则过滤,并在部署过滤规则后,对业务允许情况进行测试,避免产生额外影响。

临时方案2:临时缓解措施

在应用系统的项目包下新建以下全局类,并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加).完成类添加后,需对项目进行重新编译打包和功能验证测试。并重新发布项目。

import org.springframework.core.annotation.Order;

import org.springframework.web.bind.WebDataBinder;

import org.springframework.web.bind.annotation.ControllerAdvice;

import org.springframework.web.bind.annotation.InitBinder;

@ControllerAdvice

@Order(10000)

public class a{

@InitBinder

public void setAllowedFields(WebDataBinder dataBinder) {

String[] abd = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};

dataBinder.setDisallowedFields(abd);

}

}

版权所有:18luck新利电竞 网络与计算中心

地址:湖北省武汉市洪山区珞喻路1037号 邮编:430074 
办公及服务投诉电话:027-87543141 传真:027-87543741