Spring官宣网传大漏洞,并提供解决方案

于 2024-05-03 02:59:41 发布
阅读量1k 收藏 27
点赞数 11
分类专栏: 程序员 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84047990/article/details/138405947
版权

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!

该漏洞的利用需要满足下面的条件:

  • JDK 9 +

  • 使用Apache Tomcat部署

  • 使用WAR方式打包

  • 依赖spring-webmvc或spring-webflux

虽然可能国内大部分用户还在用JDK 8、或者采用内置Tomcat的方式运行,但由于该漏洞的特性比较普遍,不排除其他利用方式的存在。所以,DD还是建议在有条件的情况下,尽快升到最新版本来避免可能存在的风险发生。

解决方案

因为这次不是网传,而是Spring官宣,所以解决方案已经相对完善和容易了,受影响的用户可以通过下面的方法解决该漏洞的风险:

  • Spring 5.3.x用户升级到5.3.18+

  • Spring 5.2.x用户升级到5.2.20+

  • Spring Boot 2.6.x用户升级到2.6.6+

  • Spring Boot 2.5.x用户升级到2.5.12+

对于该漏洞的复习及更多细节,这里因为篇幅有限,就不具体介绍了,感兴趣的小伙伴可以关注公众号程序猿DD,回复“CVE-2022-22965”,获取更深入的解析文档。

然后,这里需要特别再提一下,之前已经收到消息并有所行动的小伙伴,没猜错的话应该都是用下面的解决方案来处理的吧?

@ControllerAdvice

@Order(Ordered.LOWEST_PRECEDENCE)

public class BinderControllerAdvice {

@InitBinder

public void setAllowedFields(WebDataBinder dataBinder) {

String[] denylist = new String[]{“class.", "Class.”, “.class.”, “.Class.”};

dataBinder.setDisallowedFields(denylist);

}

}

这个方法DD在微信群里(点击加群)也看到蛮多次了。这次Spring官方推文里,证实了该方法是有效的,但可能会留下一些其他隐患,特别是当Controller通过其自己的@InitBinder方法在本地设置disalloedFields时,该方法会覆盖全局设置。

为了以更安全的方式应用解决方案,应用程序可以扩展RequestMappingHandlerAdapter,以便在所有其他初始化结束后更新WebDataBinder。官方给出了更好的解决方案,比如下面这样:

@SpringBootApplication

public class MyApp {

public static void main(String[] args) {

SpringApplication.run(CarApp.class, args);

}

@Bean

public WebMvcRegistrations mvcRegistrations() {

return new WebMvcRegistrations() {

@Override

public RequestMappingHandlerAdapter getRequestMappingHandlerAdapter() {

return new ExtendedRequestMappingHandlerAdapter();

}

};

}

private static class ExtendedRequestMappingHandlerAdapter extends RequestMappingHandlerAdapter {

@Override

protected InitBinderDataBinderFactory createDataBinderFactory(List methods) {

return new ServletRequestDataBinderFactory(methods, getWebBindingInitializer()) {

@Override

protected ServletRequestDataBinder createBinderInstance(

Object target, String name, NativeWebRequest request) throws Exception {

ServletRequestDataBinder binder = super.createBinderInstance(target, name, request);

String[] fields = binder.getDisallowedFields();

List fieldList = new ArrayList<>(fields != null ? Arrays.asList(fields) : Collections.emptyList());

fieldList.addAll(Arrays.asList(“class.", "Class.”, “.class.”, “.Class.”));

最后

这份《“java高分面试指南”-25分类227页1000+题50w+字解析》同样可分享给有需要的朋友,感兴趣的伙伴们可挑战一下自我,在不看答案解析的情况,测试测试自己的解题水平,这样也能达到事半功倍的效果!(好东西要大家一起看才香)

image

image

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!
-1714676370542)]

[外链图片转存中…(img-ble6YkIw-1714676370542)]

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!

2401_84047990
关注
  • 11
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringWeb项目越权漏洞以及解决方案
luostudent的博客
04-12 8162
越权漏洞是什么,如何解决?
安全修复Web——Spring Framework 远程代码执行漏洞
CN華少的博客
05-21 384
安全修复Web——Spring Framework 远程代码执行漏洞 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:Java...
Springboot信息泄露以及heapdump的利用
热门推荐
LiBai'S BLOG
10-12 2万+
努力是为了不平庸~安全有些时候是枯燥的,这一次,让我们先人一步,趣学渗透!
spring 3.2.4官网jar包
08-19
Spring 框架是Java开发中的一个核心框架,它提供了全面的编程和配置模型,旨在简化企业级应用的创建和维护。Spring 3.2.4.RELEASE 是该框架的一个稳定版本,发布于2013年,为开发者带来了诸多改进和新特性。 1. **...
spring-boot-maven-plugin爆红解决方案
01-07
org.springframework.boot spring-boot-maven-plugin 问题 已经在apache-maven-3.3.9\conf\settings.xml中配置过阿里云镜像 alimaven aliyun maven http://maven.aliyun.com/nexus/content/groups/public/ ...
详解Spring循环依赖的解决方案
08-27
主要介绍了详解Spring循环依赖的解决方案,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring cloud gateway请求跨域问题解决方案
08-25
Spring Cloud Gateway 请求跨域问题解决方案 Spring Cloud Gateway 作为一种基于微服务架构的API Gateway,提供了许多有用的特性,如路由、负载均衡、熔断器等。但是,在使用 Spring Cloud Gateway 时,经常会遇到...
Spring+struts+hibernate漏洞解决方案
12-17
最近公司系统升级,整理出的漏洞解决方案
Spring RCE远程执行漏洞(CVE-2022-22965)
tpaer的博客
10-18 2543
这个洞22年3月底被大佬发现公布,由于Spring框架的影响范围太大了。复现条件又很低,本身就是高危的RCE漏洞可以直接拿到服务器的shell,像作者说的一样确实是一个核弹漏洞
SpringBoot修复Spring AMQP反序列化漏洞(CVE-2023-34050)
记录点滴
10-27 4722
问题描述: 2023年10月 Spring官方披露 CVE-2023-34050 Spring AMQP反序列化漏洞漏洞。由于 SimpleMessageConverter 或 SerializerMessageConverter 默认未配置白名单,导致可以反序列化任意类。新版本中在未配置白名单的情况下则不允许反序列化任意类。 解决的建议: 1.spring-amqp版本低于2.4.17的用户应升级到2.4.17 2.spring-amqp是3.0.0至3.0.9版本的用户应升级至3.0.10
记一次SpringBoot的信息泄漏
weixin_51721627的博客
06-12 4237
质量欠佳,大佬轻喷
Spring 漏洞及其修复方案
xiangzhihong8的专栏
04-01 3100
Spring社区发布了一篇名为《Spring Framework RCE, Early Announcement》的文章,官宣了最近网传的Spring漏洞。攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,好在Spring官方已发布补丁修复漏洞漏洞分析 Spring框架(Framework)是一个开源的轻量级J2EE应用程序开发框架,提供了IOC、AOP及MVC等功能,解决了程序人员在开发中遇到的常见问题,提高了应用程序开发便捷度和软件系统构建效率。 2022年3月30
这可能是全网把Spring Boot信息泄露讲的最清楚的文章,毕竟出自阿里P7架构师之手
文章中资料均可获取,有需要请添加yunduoa2019即可
09-10 2566
一、路由地址及接口调用详情泄漏 开发环境切换为线上生产环境时,相关人员没有更改配置文件或忘记切换配置环境,导致此漏洞 直接访问以下几个路由,验证漏洞是否存在: /api-docs /v2/api-docs /swagger-ui.html 一些可能会遇到的接口路由变形: /api.html /sw/swagger-ui.html /api/swagger-ui.html /template/swagger-ui.html /spring-security-rest/api/swa..
(2022年12月最新)spring-core-rce漏洞复现CVE-2022-22965
qq1140037586的博客
12-21 1754
2022年3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件。
实战纪实 | 某医院系统swagger接口未授权 + Springboot信息泄露
最新发布
2301_80127209的博客
01-17 2262
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。通过指纹识别出该站是springboot开发,扫描目录查看是否存在泄露。很多接口,不可能一个一个手动测试吧,上工具:swagger-hack。工具扫描完会生成文档,查看文档,是否有返回敏感内容。开局还是先测一下登录框,弱密码走一波,无果。帮助你在面试中脱颖而出。
WEB攻防-Java安全&原生反序列化&SpringBoot攻防&heapdump提取&CVE
siu~
12-25 1283
知识点: 1、Java安全-原生反序列化-3大类接口函数&利用 2、Java安全-SpringBoot攻防-泄漏安全&CVE安全
北风网:Spring Security详解——企业级权限控制的解决方案
本课程由北风网独家版权,针对Spring Security在企业级Java应用中的用户权限控制提供了全面的解决方案Spring Security是基于Spring框架构建的,自2003年从“spring的acegi安全系统”发展而来,起初是为了满足...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值