Spring官宣网传大漏洞，并提供解决方案(1)

这次确定的Spring核心框架中的RCE漏洞，CVE号为CVE-2022-22965[1]。

这个漏洞是在周二深夜，由AntGroup FG的codePlutos，meizjm3i向VMware报告。周三，Spring官方对该问题进行了调查、分析并确定了解决方案，同时计划在周四进行紧急版本的发布。

由于该漏洞被泄漏在网络上，所以Spring官方紧急发布了相关修复的版本，因为是Spring核心框架中的漏洞，所以涉及面较广。所以在这篇博文中也是在不断的持续更新进展，下面截止到本文发稿的进展时间线：

下面就来一起看看这个被网传了2天的神秘漏洞的官宣内容和解决方案。

影响范围

---

该漏洞的利用需要满足下面的条件：

• JDK 9 +

• 使用Apache Tomcat部署

• 使用WAR方式打包

• 依赖spring-webmvc或spring-webflux

虽然可能国内大部分用户还在用JDK 8、或者采用内置Tomcat的方式运行，但由于该漏洞的特性比较普遍，不排除其他利用方式的存在。所以，DD还是建议在有条件的情况下，尽快升到最新版本来避免可能存在的风险发生。

解决方案

---

因为这次不是网传，而是Spring官宣，所以解决方案已经相对完善和容易了，受影响的用户可以通过下面的方法解决该漏洞的风险：

• Spring 5.3.x用户升级到5.3.18+

• Spring 5.2.x用户升级到5.2.20+

• Spring Boot 2.6.x用户升级到2.6.6+

• Spring Boot 2.5.x用户升级到2.5.12+

对于该漏洞的复习及更多细节，这里因为篇幅有限，就不具体介绍了，感兴趣的小伙伴可以关注公众号程序猿DD，回复“CVE-2022-22965”，获取更深入的解析文档。

然后，这里需要特别再提一下，之前已经收到消息并有所行动的小伙伴，没猜错的话应该都是用下面的解决方案来处理的吧？

@ControllerAdvice

@Order(Ordered.LOWEST_PRECEDENCE)

public class BinderControllerAdvice {

@InitBinder

public void setAllowedFields(WebDataBinder dataBinder) {

String[] denylist = new String[]{“class.", "Class.”, “.class.”, “.Class.”};

dataBinder.setDisallowedFields(denylist);

}

}

这个方法DD在微信群里（点击加群）也看到蛮多次了。这次Spring官方推文里，证实了该方法是有效的，但可能会留下一些其他隐患，特别是当Controller通过其自己的@InitBinder方法在本地设置disalloedFields时，该方法会覆盖全局设置。

为了以更安全的方式应用解决方案，应用程序可以扩展RequestMappingHandlerAdapter，以便在所有其他初始化结束后更新WebDataBinder。官方给出了更好的解决方案，比如下面这样：

@SpringBootApplication

public class MyApp {

public static void main(String[] args) {

SpringApplication.run(CarApp.class, args);

}

@Bean

public WebMvcRegistrations mvcRegistrations() {

return new WebMvcRegistrations() {

@Override

public RequestMappingHandlerAdapter getRequestMappingHandlerAdapter() {

return new ExtendedRequestMappingHandlerAdapter();

}

};

}

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注Java获取）

最后

权威指南-第一本Docker书

引领完成Docker的安装、部署、管理和扩展，让其经历从测试到生产的整个开发生命周期，深入了解Docker适用于什么场景。并且这本Docker的学习权威指南介绍了其组件的基础知识，然后用Docker构建容器和服务来完成各种任务：利用Docker为新项目建立测试环境，演示如何使用持续集成的工作流集成Docker，如何构建应用程序服务和平台，如何使用Docker的API，如何扩展Docker。

总共包含了：简介、安装Docker、Docker入门、使用Docker镜像和仓库、在测试中使用Docker、使用Docker构建服务、使用Fig编配Docke、使用Docker API、获得帮助和对Docker进行改进等9个章节的知识。

关于阿里内部都在强烈推荐使用的“K8S+Docker学习指南”—《深入浅出Kubernetes：理论+实战》、《权威指南-第一本Docker书》，看完之后两个字形容，爱了爱了！
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！
+Docker学习指南”—《深入浅出Kubernetes：理论+实战》、《权威指南-第一本Docker书》，看完之后两个字形容，爱了爱了！
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！