Spring Framework 远程命令执行漏洞(CVE-2022-22965)
Spring Framework 远程命令执行漏洞
(CVE-2022-22965)
近日,Spring 官方 GitHub issue中提到了关于 Spring Core 的远程命令执行漏洞,该漏洞广泛存在于Spring 框架以及衍生的框架中。
漏洞形成原因:
Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。
未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中,JDK 9.0及以上版本会受到影响。使用旧JDK版本的产品不受影响。建议存在该漏洞的企业在防火墙处阻止带有特殊字符串的请求,以免受到该漏洞的攻击。
影响版本限制:
使用Apache Tomcat作为Servlet容器
使用传统WAR部署
基于spring-webmvc或spring-webflux
Spring框架版本为5.3.0至5.3.17,5.2.0至5.2.19,或更早版本
JDK 9.0及以上版本会受到影响
FOFA搜索:
app="APACHE-Tomcat" || app="vmware-SpringBoot-framework" || app="vmware-SpringBoot-framework" || app="vmware-Spring-Batch" || app="vmware-Spring-framework" || app="vmware-Spring-Security"
漏洞复现:
首先搭建好复现靶场
通过exploit工具直接命令执行
工具来源于Github
漏洞修复:
升级Spring Framework 版本
Spring Framework == 5.3.18
Spring Framework == 5.2.20
临时防御方案:
1、 WAF防御。
可以在WAF中添加以下规则对特殊输入的字符串进行过滤:
Class.*
class.*
*.class.*
*Class.*
2、通过黑名单策略进行防护。
您可在受影响产品代码中搜索@InitBinder注解,判断方法体内是否有dataBinder.serDisallowerFields方法,若发现存在该方法,则在黑名单中添加如下过滤规则:
Class.*
class.*
*.class.*
*Class.*
相关文章
- 基于Traefik如何实现向后转发自动去掉前缀?
- 基于 Traefik 的 ForwardAuth 配置
- 基于 Traefik 的激进 TLS 安全配置实践
- 基于容器的PaaS混合云的几种形式
- 基于 Traefik 的 Basic Auth 配置
- 公有云降本增效最佳实践
- 高可用系列文章之四 - 总结
- 高可用系列文章之三 - NGINX 高可用实施方案
- 高可用系列文章之二 - 传统分层架构技术方案
- 高可用系列文章之一 - 概述
- 为什么分布式限流会出现不均衡的情况?
- 「笔记」某移动SRE运维体系交流
- Velero系列文章(五):基于 Velero 的 Kubernetes 集群备份容灾生产最佳实践
- Velero系列文章(四):使用Velero进行生产迁移实战
- Velero 系列文章(二):使用 Helm 安装 Velero
- Velero 系列文章(一):基础
- 监控Kubernetes集群证书过期时间的三种方案
- 有状态软件如何在 k8s 上快速扩容甚至自动扩容
- 使用 Grafana 统一监控展示-对接 Zabbix
- 批处理及有状态等应用类型在 K8S 上应该如何配置?