2022.14 Spring漏洞
2023-09-11 14:18:07 时间
最近Spring生态接连出现了多个漏洞:
![](https://img2022.cnblogs.com/blog/150046/202204/150046-20220403185951482-485893337.png)
1、CVE-2022-22965 Spring Framework RCE via Data Binding on JDK 9+
用户可以通过数据绑定的方式引发远程代码执行 (RCE) 攻击漏洞,触发的条件是
- JDK 9+
- Apache Tomcat(war 包部署形式)
- Spring MVC/ Spring WebFlux 应用程序
漏洞是高危的,不过国内受影响应该不多,因为目前大部分是用JDK8,且大部分使用 Spring Boot 开发一般都是打成 jar 包内嵌Web容器运行的。如果真中了,可以升级到最新版本解决。
升级到最新版本:Spring Framework 5.3.17 Spring Boot 用户升级到:2.5.11、2.6.5
Spring 用户升级到以下安全版本:
- Spring 5.3.18+
- Spring 5.2.20+
Spring Boot 用户升级到以下安全版本:
- Spring Boot 2.6.6+
- Spring Boot 2.5.12+
2、 CVE-2022-22963 Remote code execution in Spring Cloud Function by malicious Spring Expression
该漏洞是Spring Cloud Function的,在使用路由功能时,用户可以制作特制的 SpEL 表达式作为路由表达式,从而导致用户可以 访问本地资源 的漏洞。
Spring Cloud Function是 Spring Cloud 项目中的一个子项目,提供了 Spring 开发人员利用 serverless(无服务器架构)或 FaaS(Function as a Service,功能即服务) 的功能的能力。它抽象出了所有传输细节和基础设施,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。
解决方案:手动升级到最新版本:Spring Cloud Function 3.1.7 & 3.2.3
3、CVE-2022-22950 Spring Expression DoS Vulnerability
用户可以通过制作特制的 SpEl 表达式引发 DoS(拒绝服务)漏洞。
解决方案:
升级到最新版本:Spring Framework 5.3.17+ Spring Boot 用户升级到:2.6.5+
有句话说的好,是软件总会有漏洞,Spring也不例外。因为用它的人多,所以它的漏洞也格外被人关注。
作为技术人员我们使用它,就要关注并接受它也会出现漏洞,然后想办法去解决。
相关文章
- spring 之 类型转换
- Spring Boot Java应用代码混淆介绍
- activiti自定义流程之Spring整合activiti-modeler5.16实例(八):完成个人任务
- spring: 使用Spring提供的JDBC模板(使用profiles选择数据源/使用基于JDBC驱动的数据源)
- spring boot: spring Aware的目的是为了让Bean获得Spring容器的服务
- 20-spring学习-Spring MVC基本操作
- Spring异常解决 java.lang.NullPointerException,配置spring管理hibernate时出错
- Spring MVC之@RequestParam @RequestBody @RequestHeader 等详解
- Spring 基于注解(annotation)的配置之@Qualifier注解
- Atitit spring单元测试 注解 获取服务名 Spring文件单独放在一个文件夹,去掉dubbo配置,方便测试 里面包含的mybatis 找不到,只好设置成相对于class绝对路径可以了
- Spring管理的bean初始化方法的三种方式,以及@PostConstruct不起作用的原因
- Spring 官方修复零日漏洞,推出 Spring Boot 2.6.6、2.5.12 等新版本
- 学习Spring Boot:(十九)Shiro 中使用缓存
- Spring aop 小例子demo
- spring与mybatis集成和事务控制
- Spring MVC 3 深入总结
- 005-spring-data-elasticsearch 3.0.0.0使用【三】-spring-data之Spring数据扩展
- 001-spring结合quartz使用
- Spring Boot Bean和依赖注入
- Spring依赖注入(五):盘一盘Spring的三级缓存
- 【异常】Spring Session存在Redis时报错“ERR config is disabled command“的解决方法