Spring是Java EE編程領域的一個熱門開源框架�����,該框架在2002年創(chuàng)建��,是為了解決企業(yè)級編程開發(fā)中的復雜性�,業(yè)務邏輯層和其他各層的松耦合問題�����,因此它將面向接口的編程思想貫穿整個系統(tǒng)應用���,實現(xiàn)敏捷開發(fā)的應用型框架�����。目前����,Spring 框架已被包括科技巨頭公司在內的大量企業(yè)廣泛采用,還包括一些“無服務器”(serverless)服務提供商����。
據外媒消息,Spring官方日前在github上更新了一條可能導致命令執(zhí)行漏洞的修復代碼��,該漏洞目前在互聯(lián)網中已被成功驗證����。研究機構將該漏洞評價為高危級�����。對于應用JDK版本號為9及以上的企業(yè)��,建議盡快開展Spring框架使用情況的排查與漏洞處置工作�����。
漏洞排查
(1) 如果業(yè)務系統(tǒng)項目以war包形式部署,按照如下步驟進行判斷:解壓war包:將war文件的后綴修改成.zip ,解壓zip文件��。在解壓縮目錄下搜索是否存在 spring-beans-*.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在則說明業(yè)務系統(tǒng)使用了spring框架進行開發(fā)�。如果spring-beans-*.jar 文件不存在��,則在解壓縮目錄下搜索CachedIntrospectionResuLts.class 文件是否存在���,如存在則說明業(yè)務系統(tǒng)使用了Spring框架開發(fā)。
(2) 如果業(yè)務系統(tǒng)項目以jar包形式直接獨立運行���,按照如下步驟進行判斷:解壓jar包:將jar文件的后綴修改成.zip,解壓zip文件�����。在解壓縮目錄下搜索是否存在spring-beans-*.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在則說明業(yè)務系統(tǒng)使用了spring框架進行開發(fā)����。如果spring-beans-*.jar 文件不存在����,則在解壓縮目錄下搜索CachedIntrospectionResuLts.class 文件是否存在,如存在則說明業(yè)務系統(tǒng)使用了spring框架進行開發(fā)��。
漏洞修復
目前�����,spring官方尚未正式發(fā)布漏洞補丁,安全專家建議采用以下二個臨時方案進行防護���,并及時關注官方補丁發(fā)布情況�。
(1) WAF防護
在WAF等網絡防護設備上�����,根據實際部署業(yè)務的流量情況��,實現(xiàn)對“class.*”“Class.*”“*.class.*”“*.Class.*”等字符串的規(guī)則過濾�,并在部暑過濾規(guī)則后,對業(yè)務運行情況進行測試��,避免產生額外影響��。
(2) 臨時修復措施
需同時按以下兩個步驟進行漏澗的臨時修復:在應用中全局搜索@InitBinder注解���,看看方法體內是否調用dataBinder.setDisallowedFields方法,如果發(fā)現(xiàn)此代碼片段的引入����,則在原來的黑名單中,添加{"class.*","Class. *","*. class.*", "*.Class.*"}。在應用系統(tǒng)的項目包下新建以下全局類�����,并保證這個類被Spring 加載到(推薦在Controller 所在的包中添加).完成類添加后�,需對項目進行重新編譯打包和功能驗證測試。并重新發(fā)布項目�。
importorg.springframework.core.annotation.Order; importorg.springframework.web.bind.WebDataBinder; importorg.springframework.web.bind.annotation.ControllerAdvice; importorg.springframework.web.bind.annotation.InitBinder; @ControllerAdvice@Order(10000) publicclassGlobalControllerAdvice{ @InitBinderpublicvoidsetAllowedFields(webdataBinderdataBinder){ String[]abd=newstring[]{"class.*","Class.*","*.class.*","*.Class.*"}; dataBinder.setDisallowedFields(abd); } }
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
