前幾天爆出來的 Spring 漏洞,剛修復完又來?
| 漏洞 | CVE-2022-22965 |
|---|---|
| 漏洞名稱 | 遠程代碼執行漏洞 |
| 嚴重級別 | 高危 |
| 影響范圍 | Spring Framework - 5.3.0 ~ 5.3.17 - 5.2.0 ~ 5.2.19 - 老版本及其他不受支持的版本 |
這次是高危,必須引起重視
用戶可以通過資料系結的方式引發遠程代碼執行 (RCE) 攻擊漏洞,觸發的前提條件如下:
- JDK 9+
- Apache Tomcat(war 包部署形式)
- Spring MVC/ Spring WebFlux 應用程式
使用 Spring Boot 開發一般都是打成 jar 包,默認內嵌 Tomcat 形式,這對使用 Docker/ 微服務這種應用特別合適,但也可以切換為 war 包部署,但很少使用,但也不是沒有,比如說一般的傳統專案,為了兼容老環境,或者運維統一維護 Tomcat 環境,可能也會使用 war 包部署,
所以,如果你使用的是默認的 Spring Boot 可執行 jar 包默認內嵌 Tomcat 部署,則不受影響,但由于這個漏洞的普遍性,可能還有其他方式進行利用,,難道這就是 Early Announcement 的含義?還來,真要搞瘋了!
如果你想關注和學習最新、最主流的 Java 技術,可以持續關注公眾號Java技術堆疊,公眾號第一時間推送,
解決方案
Spring 用戶升級到以下安全版本:
- Spring 5.3.18+
- Spring 5.2.20+
Spring Boot 用戶升級到以下安全版本:
- Spring Boot 2.6.6
- Spring Boot 2.5.12+
麻了麻了!又得升級??這 Spring Boot 2.6.5 剛發布沒幾天,,,可能由于這個漏洞太過于高危,沒有辦法,必須升級主版本應對,以免用戶使用了帶了漏洞的版本,Spring Boot 2.6.6專案 fhadmin.cn
但是,如果不想升級框架主版本,也是可以的,畢竟很多應用不一定會兼容 Spring Boot 最新版本,比較 Spring Cloud 或者其他依賴的底層框架,
Spring Boot 用戶可以使用以下方法臨時解決:
package car.app;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.web.servlet.WebMvcRegistrations;
import org.springframework.context.annotation.Bean;
import org.springframework.web.bind.ServletRequestDataBinder;
import org.springframework.web.context.request.NativeWebRequest;
import org.springframework.web.method.annotation.InitBinderDataBinderFactory;
import org.springframework.web.method.support.InvocableHandlerMethod;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter;
import org.springframework.web.servlet.mvc.method.annotation.ServletRequestDataBinderFactory;
/**
* 說明:MyApp
* 作者:FH Admin
* from:fhadmin.cn
*/
@SpringBootApplication
public class MyApp {
public static void main(String[] args) {
SpringApplication.run(CarApp.class, args);
}
@Bean
public WebMvcRegistrations mvcRegistrations() {
return new WebMvcRegistrations() {
@Override
public RequestMappingHandlerAdapter getRequestMappingHandlerAdapter() {
return new ExtendedRequestMappingHandlerAdapter();
}
};
}
private static class ExtendedRequestMappingHandlerAdapter extends RequestMappingHandlerAdapter {
@Override
protected InitBinderDataBinderFactory createDataBinderFactory(List<InvocableHandlerMethod> methods) {
return new ServletRequestDataBinderFactory(methods, getWebBindingInitializer()) {
@Override
protected ServletRequestDataBinder createBinderInstance(
Object target, String name, NativeWebRequest request) throws Exception {
ServletRequestDataBinder binder = super.createBinderInstance(target, name, request);
String[] fields = binder.getDisallowedFields();
List<String> fieldList = new ArrayList<>(fields != null ? Arrays.asList(fields) : Collections.emptyList());
fieldList.addAll(Arrays.asList("class.*", "Class.*", "*.class.*", "*.Class.*"));
binder.setDisallowedFields(fieldList.toArray(new String[] {}));
return binder;
}
};
}
}
}
總結
總結下這次受影響的用戶:
- JDK 9+
- Apache Tomcat(WAR 包部署形式)
- Spring MVC/ Spring WebFlux 應用程式
這次的大漏洞雖然是高危的,國內可能影響面有限,影響的關鍵還是JDK 9+ 的用戶,國外用 JDK 9+ 的比較多,JDK 11 和 JDK8 占據主要陣營,JDK 17+ 也在逐步發力替代 JDK 8,
據我了解,國內用 JDK 8 的比較多,JDK 9+ 應該只是少部分群體,如果你用的 JDK 8 及以下版本,那恭喜你,目前不受影響,否則盡快修復、升級保平安,
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/458046.html
標籤:其他
上一篇:行為型:一. 觀察者模式