Spring Core远程代码执行漏洞的预警通报

Spring Core远程代码执行漏洞的预警通报

Spring Core组件存在远程代码执行漏洞。该漏洞是由于Spring Core未对传输的数据进行有效的验证，攻击者可利用该漏洞在未授权的情况下，构造恶意数据进行远程代码执行攻击，最终获取服务器最高权限。

Spring是一个支持快速开发Java EE应用程序的框架。 它提供了一系列底层容器和基础设施，并可以和大量常用的开源框架无缝集成，可以说是开发Java EE应用程序的必备。

• 漏洞影响范围:

(1)使用JDK>=9

(2)Spring开发或衍生框架开发（存在spring-bean*.jar）

spring-framework < v5.3.18

spring-framework < v5.2.20.RELEASE

二、漏洞排查方法：

1、JDK 版本号排查

在业务系统的运行服务器上，执行“java -version”命令查看运行的JDK版本，如果版本号小于等于8，则不受漏洞影响。

2、Spring 框架使用情况排查

（1）如果业务系统项目以war包形式部署，按照如下的步骤进行判断。

1）解压war包：将war文件的后级修改成.zip，解压zip文件。

2）在解压缩目录下搜索是否存在spring-beans-*.jar格式的jar文件（例如spring-beans-5.3.16.jar），如存在则说明业务系统使用了Spring框架进行开发（如下图）。

3）如果spring-beans-*.jar文件不存在，则在解压缩目录下搜索CachedIntrospectionResults.class文件是否存在，如存在则说明业务系统使用了Spring框架进行开发。

（2）如果业务系统项目是由maven编译的，按照如下的步骤进行判断。

1）打开pom.xml文件：一般在项目根目录下会有pom.xml（如下图）。

1. 在此文件中搜索spring-beans，如果可以搜索到关键字，则可能受到漏洞的影响（如下图）。

（3）如果业务系统项目以jar包形式直接独立运行，按照如下的步骤进行判断。

1）解压jar包：将jar文件的后缀修改成.zip，解压zip文件。

2）在解压缩目录下搜索是否存在spring-beans-*.jar格式的jar文件（例如spring-beans-5.3.16.jar），如存在则说明业务系统使用了Spring框架进行开发。

3）如果spring-beans-*.jar文件不存在，则在解压缩目录下搜索CachedIntrospectionResults.class文件是否存在，如存在则说明业务系统使用了Spring框架进行开发（如下图）。

三、漏洞修复建议:

当前Spring官方已发布安全版本修复漏洞，建议受影响用户及时更新至最新版本。

安全版本如下：

spring-framework v5.3.18

spring-framework v5.2.20.RELEASE

三、修复建议

目前，Spring官方无官方补丁，建议采用以下两个临时方案进行防护，并及时关注官方补丁发布情况，按官方补丁修复漏洞。

1. WAF防护

在网络防护设备上，根据实际部署业务的流量情况，对"class.module.*"字符串添加过滤规则，在部暑过滤规则后，对业务运行情况进行测试，避免产生额外影响。注意：其中流量特征"class.module.*"对大小写不敏感。

2.临时修复措施

需同时按以下两个步骤进行漏洞的临时修复：

在应用中全局搜索@InitBinder注解，着看方法体内是否调用

dataBinder.setDisallowedFields方法，如果发现此代码片段的引入，则在原来的

黑名单中添加{"class.module.*"}。注意：如果此代码片段使用较多，需要每个地方都追加。

在应用系统的项目包下新建以下全局类，并保证这个类被Spring加载

到（推荐在Controller所在的包中添加），完成类添加后，需对项目进行重新编

译打包和功能验证测试，并重新发布项目。

import org.springframework.core.annotation.Order;

import org.springfiamework.web.bind.WebDataBinder;

import org.springframework.web.bind.annotation.ControllerAdvice;

import org.springframework.web.bind.annotation.InitBinder;

©ControllerAdvice

@Ordex(10000)

public class Global ControllerAdvice{

@InitBinder

Public void setAllowedFields(WebDataBinder dataBinder){

String[]abd=newString[] {"class.*","Class.*","class.*",".Class.*"};

dataBinder.setDisallowedFields(abd);

}

}

参考链接:https://springboot.io/t/topic/4879

Spring Framework RCE, Early Announcement