社区编辑申请
注册/登录
漏洞情报 | Spring RCE 0day高危漏洞预警
安全 漏洞
相关监测发现该漏洞可能已被远程攻击者利用,广东省网络安全应急响应中心连夜发布预警通知,考虑到Spring框架的广泛应用,FreeBuf对漏洞评级为:危险。

3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。

相关监测发现该漏洞可能已被远程攻击者利用,广东省网络安全应急响应中心连夜发布预警通知,考虑到Spring框架的广泛应用,FreeBuf对漏洞评级为:危险。

漏洞描述:

作为目前全球最受欢迎的Java轻量级开源框架,Spring允许开发人员专注于业务逻辑,简化Java企业级应用的开发周期。

但在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并 写入任意路径下的文件。

目前已知,触发该漏洞需要满足两个基本条件:

  • 使用JDK9及以上版本的Spring MVC框架
  • Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class

漏洞影响范围:

  • JDK9 <= Spring Cloud Function
  • 执行“java-version”命令可查看JDK版本

解决方案(临时):

目前Spring官方并没有发布与此漏洞相关的补丁文件,相关漏洞POC也暂未被公开。考虑到自3月29日起已在小范围传播,鉴于Spring MVC的广泛应用,各企业仍需警惕远程攻击者,并采用广东省网络安全应急响应中心公布临时方案加强防护。FreeBuf将密切关注Spring官方的补丁发布情况。

临时方案1:WAF临时策略

在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对:

“class.*”,“Class.*”,“*.class.*”,“*.Class.*

等字符串的规则过滤,并在部署过滤规则后,对业务允许情况进行测试,避免产生额外影响。

临时方案2:临时缓解措施

在应用系统的项目包下新建以下全局类,并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加).完成类添加后,需对项目进行重新编译打包和功能验证测试。并重新发布项目。

import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;



@ControllerAdvice
@Order(10000)
public class a{
@InitBinder
public void setAllowedFields(WebDataBinder dataBinder) {
String[] abd = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};
dataBinder.setDisallowedFields(abd);
}
}
责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-04-30 08:43:52

Spring模块化框架

2022-06-16 15:42:16

攻击面管理ASM

2022-05-30 09:32:07

Spring容器

2022-06-16 10:38:24

2022-05-27 15:06:22

攻击面管理(ASM)网络安全运营

2022-06-14 11:01:48

SpringBootTomcatUndertow

2022-05-16 13:37:12

Sysrv僵尸网络微软

2022-06-10 06:55:21

JustAuthSpring

2022-04-11 07:34:46

OAuth2UAA节点

2022-05-11 17:56:14

安全运营网络安全

2022-05-18 12:04:19

Mybatis数据源Spring

2022-04-19 12:21:58

开源技术

2022-05-26 10:42:30

数据权限注解

2022-04-28 08:05:05

2022-04-26 08:41:54

JDK动态代理方法

2022-05-12 07:37:51

单点登录微服务开源

2022-04-14 08:51:49

微服务Redisson分布式锁

2022-04-06 08:29:26

Kafka通信中间件

2022-04-13 08:00:00

Hilla开发Java

2022-04-12 15:58:52

芯片

同话题下的热门内容

六个优秀漏洞管理工具以及它们如何帮助确定威胁的优先级首席信息安全官仍然会犯的漏洞管理错误

编辑推荐

Log4j史诗级漏洞,从原理到实战,只用3个实例就搞明白!漏洞情报 | Spring RCE 0day高危漏洞预警Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响二维码新漏洞出现,遇到此类二维码小心中招
我收藏的内容
点赞
收藏

51CTO技术栈公众号