大家好,我是堆疊長,
最近技術堆疊真是醉了,Log4j2 的核彈級漏洞剛告一段落,這個月初 Spring Cloud Gateway 又突發高危漏洞,現在連最要命的 Spring 框架也淪陷了,,,
堆疊長今天看到了一些安全機構發布的相關漏洞通告,Spring 官方博客也發布了漏洞宣告:
漏洞描述:
用戶可以通過制作特制的 SpEl 運算式引發 DoS(拒絕服務)漏洞,
SpEL 全稱:Spring Expression Language,即:Spring 運算式語言,
這玩意平時使用不多,但在關鍵時候卻很有用,比如我們在 Bean 注入動態取引數的時候經常會遇到:
<bean id="user" >
<property name="country" value="https://www.cnblogs.com/javastack/p/#{systemProperties['user.country'] }"/>
...
</bean>
或者基于注解的:
@Component
public class User
@Value("#{systemProperties['user.country']}")
private String country;
...
}
當然,SpEL 的功能強大不止于此,
影響范圍:
- Spring 5.3.0 ~ 5.3.16
- 其他老版本、不受支持的版本也會受到影響
解決方案:
- 升級到最新版本:Spring Framework 5.3.17
- Spring Boot 用戶升級到:2.5.11、2.6.5
很奇怪的是,在前幾天的 Spring Boot 2.6.5 發布說明中并沒有說明這個漏洞,而且版本也早于漏洞發生前發布,但卻包含了漏洞的修復,這是什么操作呢?
不管怎么樣,大家趕緊檢查升級保平安吧!
最后,如果你想關注和學習最新、最主流的 Java 技術,可以持續關注公眾號Java技術堆疊,公眾號第一時間推送,
參考:https://tanzu.vmware.com/security/cve-2022-22950
著作權宣告: 本文系公眾號 "Java技術堆疊" 原創,原創實屬不易,轉載、參考本文內容請注明出處,抄襲者一律舉報+投訴,并保留追究其法律責任的權利,
近期熱文推薦:
1.1,000+ 道 Java面試題及答案整理(2022最新版)
2.勁爆!Java 協程要來了,,,
3.Spring Boot 2.x 教程,太全了!
4.別再寫滿屏的爆爆爆炸類了,試試裝飾器模式,這才是優雅的方式!!
5.《Java開發手冊(嵩山版)》最新發布,速速下載!
覺得不錯,別忘了隨手點贊+轉發哦!
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/453748.html
標籤:Java