mg不朽情缘

84472_17022767220742

征询电话:400-6446-808

新闻动态

创安攻防尝试室关于Spring Framework远程代码执行缝隙风险提醒
2022-04-02 15:12:16
图片

近期创安攻防尝试室监测到Spring官方颁布安全布告,披露了一个Spring框架可在JDK>=9版本下实现远程代码执行的缝隙(CVE-2022-22965) 。此缝隙影响领域极广,建议客户尽快做好自查工作 。

官方布告链接:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

 

 

缝霞述

该缝隙是SpringFramework数据绑定的一个缝隙,若是后盾步骤中接受的参数为非基础类型,Spring会凭据前端传入的要求正文中的参数的key致反查问与其名称所对应的getter和setter步骤,攻击者利用这一个性批改了Tomcat的一个用于日志纪录的类的属性,进而当Tomcat在进行写日志操作的时辰,将攻击者传递的恶意代码写入指定目录的指定文件中 。

影响领域

若满足如下两个前提则确定受到缝隙影响:
(1)使用JDK>=9
(2)Spring开发或衍生框架开发(存在spring-bean*.jar)
spring-framework < v5.3.18
spring-framework < v5.2.20.RELEASE

缝隙编号

CVE-2022-22965

缝隙等级

严沉

 

缝隙复现

目前表界Exp/PoC已公开,创安尝试室已验证该缝隙的可利用性:

 

图片

 

 

图片

 

 

 

图片

 

建复建议

 

 

 

Spring官方目前已颁布安全版本,建议用户尽快更新至安全版本,下载链接如下

https://github.com/spring-projects/spring-framework

 

(一)WAF防护

 

在WAF等网络防护设备上,凭据现实部署业务的流量情况,实现对class.*, Class.*,*.class.*,*.Class.* 等字符串的规定过滤,并在部署过滤规定后,对业务运行情况进行测试,预防产生额表影响 。

 

(二)一时建复措施

 

需同时按以下两个步骤进行缝隙的一时建复:

 

1、在利用中全局搜索@InitBinder注解,看看步骤体内是否挪用dataBinder.setDisallowedFields步骤,若是发现此代码片段的引入,则在原来的黑名单中,增长{"class.*","Class.*","*.class.*","*.Class.*"} 。(注:若是此代码片段使用较多,必要每个处所都追加)

 

2、在用系统的项目包下新建以下全局类,并保障这个类被Spring 加载到(推荐在Controller地点的包中增长) 。实现类增长后,需对项目进行沉新编译打包和职能验证测试,并沉新颁布项目 。

 

 

 

 

 

本文由mg不朽情缘创安攻防尝试室整顿编纂 。

 

本文仅限于幼我进建和技术钻研,由于传布、利用此文所提供的信息而造成刑事案件、非授权攻击等违法行为,均由使用者自己掌管,本单元不为此承担任何责任 。创安攻防尝试室占有对此文章的批改和诠释权,如欲转载或传布此文章,必须保障此文章的齐全性,蕴含版权申明等全数内容 。

 

如有侵权,请联系后盾 。

 

 

 

图片
mg不朽情缘
mg不朽情缘自成立以来一向秉秤装求真求实、创新卓越”的文化理想,对峙“开创、诚信、规范、专业”的经营宗旨,全力以赴为网络安全和国度安全保驾护航 。我司以“等保测评”、“密码测评、“软件测试”、“安全服务”为基础,以综合服务为延长,形成“4+N”的业务布局,针对多个行业形成系统的、全面的解决规划和网络安全保险系统 。服务领域蕴含党政、政法、医疗、能源、教育、金融、工业互联网以及关键信息基础设施等多个方面 。等待与您的合作!

图片

图片

 

【网站地图】