提供了编程的基础技术教程

zl程序教程

您现在的位置是:首页 >  后端

当前栏目

2022.14 Spring漏洞

Spring漏洞
2023-09-11 14:18:07 时间
最近Spring生态接连出现了多个漏洞:
1、CVE-2022-22965 Spring Framework RCE via Data Binding on JDK 9+
用户可以通过数据绑定的方式引发远程代码执行 (RCE) 攻击漏洞,触发的条件是
  • JDK 9+
  • Apache Tomcat(war 包部署形式)
  • Spring MVC/ Spring WebFlux 应用程序

漏洞是高危的,不过国内受影响应该不多,因为目前大部分是用JDK8,且大部分使用 Spring Boot 开发一般都是打成 jar 包内嵌Web容器运行的。如果真中了,可以升级到最新版本解决。

  • 升级到最新版本:Spring Framework 5.3.17
  • Spring Boot 用户升级到:2.5.11、2.6.5

Spring 用户升级到以下安全版本:

  • Spring 5.3.18+
  • Spring 5.2.20+

Spring Boot 用户升级到以下安全版本:

  • Spring Boot 2.6.6+
  • Spring Boot 2.5.12+
2、 CVE-2022-22963 Remote code execution in Spring Cloud Function by malicious Spring Expression
该漏洞是Spring Cloud Function的,在使用路由功能时,用户可以制作特制的 SpEL 表达式作为路由表达式,从而导致用户可以 访问本地资源 的漏洞。
Spring Cloud Function是 Spring Cloud 项目中的一个子项目,提供了 Spring 开发人员利用 serverless(无服务器架构)或 FaaS(Function as a Service,功能即服务) 的功能的能力。它抽象出了所有传输细节和基础设施,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。
解决方案:手动升级到最新版本:Spring Cloud Function 3.1.7 & 3.2.3
3、CVE-2022-22950 Spring Expression DoS Vulnerability
用户可以通过制作特制的 SpEl 表达式引发 DoS(拒绝服务)漏洞。
解决方案:
  • 升级到最新版本:Spring Framework 5.3.17+
  • Spring Boot 用户升级到:2.6.5+

有句话说的好,是软件总会有漏洞,Spring也不例外。因为用它的人多,所以它的漏洞也格外被人关注。
作为技术人员我们使用它,就要关注并接受它也会出现漏洞,然后想办法去解决。

相关文章