Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查

于 2022-03-31 22:13:16 发布
阅读量1.6w 收藏 17
点赞数 8
分类专栏: 软件供应链安全 墨菲安全实验室漏洞预警 文章标签: web安全 安全 java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/murphysec/article/details/123884911
版权

漏洞简述

3月31日,spring 官方通报了 Spring 相关框架存在远程代码执行漏洞,并在 5.3.18 和 5.2.20.RELEASE 中修复了该漏洞。

漏洞评级:严重

影响组件:org.springframework:spring-beans

影响版本:< 5.3.18 和 < 5.2.20.RELEASE 的Spring框架均存在该漏洞,建议用户尽快进行排查处置。

缺陷分析

CVE-2010-1622中曾出现由于参数自动绑定机制导致的问题, 此前通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,最后导致远程代码执行。

如何快速排查

墨菲安全提供了一系列检测工具,能够帮助您快速排查项目是否收到影响。

GitLab全量代码检测

使用基于墨菲安全CLI的检测工具,快速对您的GitLab上所有项目进行检测

  1. -A:指定您的GitLab服务地址
  2. -T:指定您的GitLab个人访问令牌
  3. -t:指定您的墨菲安全账户访问令牌

说明:检测仅发生在您的本地环境中,不会上传任何代码至服务端

墨菲安全开源CLI工具

使用CLI工具,在命令行检测指定目录代码的依赖安全问题

  • 工具地址:https://github.com/murphysecurity/murphysec

具体使用方式可参考项目 README 或官方文档

 

说明:检测仅发生在您的本地环境中,不会上传任何代码至服务端

墨菲安全IDE插件

IDE 中即可检测代码依赖的安全问题,并通过准确的修复方案和一键修复功能,快速解决安全问题。

使用方式:

  1. IDE插件中搜索“murphysec”即可安装
  2. 选择“点击开始扫描”,即可检测出代码中存在哪些安全缺陷组件

 

以上几种检测方式均可在墨菲安全平台上查看详细的检测结果,并可以查看项目的直接或间接依赖信息。

 

参考链接

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

墨菲安全
关注
  • 8
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 27
    评论
专栏目录
博客
差点引爆全球的核弹,深度分析XZ-Utils供应链后门投毒事件
04-01 2066
wp:quote处心积虑的投毒者蛰伏三年多,精心选择对象,通过复杂的攻击手法、专业的技战术,一步步支起一张大网,企图掌控全球主流linux发行版,一旦成功他将可以随意侵入全球绝大多数的服务器,这将是足以引爆全球的核弹危机。所幸由于复杂度过高以及投毒者的疏忽,事件被及早发现,没有造成过大的现实危害。但此次事件再次凸显出开源软件生态的脆弱性,本次事件仍可能只是冰山下的一角。墨菲安全也提醒所有企业不应该默认相信来自开源社区的软件,应该加强企业自身的供应链安全体系建设,才能当危机来临时应对自如。/wp:quote。
博客
剖析美国政府视角下的ICT供应链安全
03-25 864
2018 年 11 月 15 日,美国国土安全部(DHS)宣布成立了信息和通信技术 (ICT) 供应链风险管理(SCRM)工作组,这个工作组是由美国多个政府部门、IT行业企业代表及通信行业企业代表联合成立的。该组织对外宣传的目标是识别和管理全球 ICT 供应链的风险。之后该组织非常活跃,2024 年 2 月 6 日,该组织刚刚宣布将工作组延长两年。
博客
墨菲安全在软件供应链安全领域阶段性总结及思考
03-20 660
反观,今天企业软件应用的生产过程正在经历这么一个逐渐走向成熟的过程,据权威数据统计目前各行业企业的软件应用大概来自供应链的成分占比超过90%,据工信部数据显示2022年全国软件及信息化相关服务市场规模超过10万亿,到2028年还将翻一番来到20万亿,而当前软件产业链在安全上的投入恐怕连0.1%(100亿)都不到,这里面未来发展的空间非常大。传统的开发安全体系(SDL/DevSecOps)更多的关注的是软件研发过程中的安全管控,但是实际上软件供应链安全要贯穿软件从生产、分发、应用、持续更新等全过程的管理。
博客
企业开展开源安全治理必要性及可行性详细分析
03-18 1135
当新鲜事物产生时,首先我们应该积极的态度去拥抱它,但是它是不是真的值得我们投入(包括当下工作和未来个人技术成长),就需要客观的分析其必要性,同时结合自身情况了解它的可行性。开源安全治理方向是近几年经济下行周期中企业为数不多大家关注的热门方向,也是当前企业面临的主要安全威胁,大量勒索攻击、数据泄露事件究其原因都与此有关,再加上自主可控的大背景需求下,此项需求被催生和释放就理所当然了。但是面对这样一个热门的方向,行业头部企业都在积极投入和规划,我们应该如何客观看待,开源安全治理到底是昙花一现的伪需求?
博客
【高危】Apache Solr 环境变量信息泄漏漏洞
01-17 926
Apache Solr 是一款开源的搜索引擎。在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下,攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,包括敏感信息的配置、密钥等。
博客
【中危】IoTDB 存在远程代码执行漏洞
01-17 431
Apache IoTDB是时序数据的数据管理系统,为用户提供数据采集、存储、分析等特定服务。JEXL是一个表达式语言引擎,全称是Java表达式语言(Java Expression Language),可以在 java 程序中动态地运算一些表达式在受影响版本中,由于IoTDB通过UDTFJexl.java实现 JEXL 表达式支持。攻击者可以通过配置 UDF,调用 JEXL表达式来执行 JAVA命令,导致存在远程代码执行漏洞。
博客
【高危】Google Chrome V8 < 120.0.6099.224 越界内存访问漏洞
01-17 852
Google Chrome V8 是一个由Google开发的开源JavaScript引擎,用于Google Chrome及Chromium中。Google Chrome 120.0.6099.224版本之前中,当通过runtime-object.cc的DeleteObjectPropertyFast删除对象属性时,可能未能正确处理内存或属性映射,导致越界内存访问漏洞。攻击者可以通过诱导用户访问恶意链接并利用此漏洞进行内存读取或写入,从而可能导致代码执行。漏洞已被Google发现在野利用。
博客
【严重】Atlassian Confluence 模板注入代码执行漏洞
01-17 445
Confluence 是由Atlassian公司开发的企业协作和文档管理工具。Atlassian Confluence Data Center/Server 受影响版本中存在模版注入漏洞,攻击者通过构造恶意请求,可以在未登录的情况下在Confluence实例上触发远程代码执行漏洞。漏洞已在8.5.4版本中修复,可能与velocity引擎中对snakeyaml、antlr等组件的支持有关。
博客
【低危】OpenSSL 拒绝服务漏洞
01-17 1176
OpenSSL 是广泛使用的开源加密库。在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ,使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的,这可能会导致拒绝服务。其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数,但会在 OpenSSL pkey 命令行应用程序中调用。
博客
【严重】GitLab 以其他用户身份执行 Slack 命令
01-15 596
GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。GitLab 受影响版本中,由于配置Slack/Mattermost 集成时,未正确验证用户身份信息,导致攻击者可以使用其他用户身份执行 Slack 命令。2024/1/12。
博客
【高危】Apache Solr 环境变量信息泄漏漏洞
01-15 776
Apache Solr 是一款开源的搜索引擎。在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下,攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,包括敏感信息的配置、密钥等。
博客
【严重】GitLab 账号接管漏洞
01-15 640
GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。GitLab CE/EE中支持用户通过辅助电子邮件地址重置密码,默认情况允许通过未经确认电子邮件重置密码。攻击者可以利用此漏洞将用户帐户密码重置电子邮件发送任意未经验证的电子邮件地址,导致用户帐户被接管。GitLab 账号接管漏洞。
博客
《网络弹性法案》协议达成,欧盟立法进一步临近实施
12-08 554
一封由 Google、电子前沿基金会、CyberPeace Institute、ESET、Rapid7、Bugcrowd 和 Trend Micro 等多个组织代表签署的公开信声称,关于漏洞披露的规定适得其反,将制造新的威胁,破坏数字产品及其使用者的安全。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。
博客
libcurl Socks5 堆缓冲区溢出漏洞(CVE-2023-38545)详细分析
10-25 548
curl 是用于在各种网络协议之间传输数据的命令行工具,libcurl 用于提供处理网络通信和数据传输的 Api 接口。curl 默认下载缓冲区为 102400 字节,但如果设置低于每秒 102400 字节,缓冲区大小会自动设置为更小的值。libcurl 下载缓冲区默认为 16KB,应用程序可通过 CURLOPT_BUFFERSIZE 选项设置其大小。
博客
CVE-2023-5129 libwebp堆缓冲区溢出漏洞影响分析
09-28 1472
近日苹果、谷歌、Mozilla和微软等公司积极修复了libwebp组件中的缓冲区溢出漏洞,相关时间线如下:9月7日,苹果发布紧急更新,修复了此前由多伦多大学公民实验室报告的iMessage 0-click 漏洞,漏洞被认为已经被NSO公司的Pegasus间谍软件所利用,漏洞编号CVE-2023-41064;9月8日,libwebp 开发者提交 commit 修复了由于越界写入导致的堆缓冲区溢出漏洞;
博客
近期大型攻防演练观感及未来攻防趋势判断
08-21 261
此外,对于攻击方来说,整理和收集这些开源组件通用漏洞的POC/EXP,相对来说成本很低,而且很多都已经整理成现成的攻击工具了,像今年国产的低代码开源项目Jeecg-boot出了好几个0day(老惨了),这类系统漏洞很多,并且相对来说获取成本比较低,而国内又确实有不少关基的客户在用,打起来性价比还是相当不错的,此外就是一些针对python及npm的投毒,这些攻击起来门槛比较低,说不定有意外的收获。最后,因为这些市场覆盖率高的产品,大部分关基行业的客户都会用,而且拿这些产品的0day打进去,不容易被拦截。
博客
中路对线发现正在攻防演练中投毒的红队大佬
08-18 441
​2023年8月14日晚,墨菲安全实验室发布《首起针对国内金融企业的开源组件投毒攻击事件》NPM投毒事件分析文章,紧接着我们在8月17日监控到一个新的npm投毒组件包 hreport-preview,该投毒组件用来下载木马文件的域名地址竟然是 img.murphysec-nb.love(如下图1),且该域名注册时间就是8月14号,投毒者使用的注册邮箱同样是hotmail临时注册的邮箱,很显然大概是上次被我们公开投毒行为的攻击者正在火速赶往中路与我们对线,大哥,速度要不要这么快 -_-!
博客
【高危】 jeecg-boot/积木报表基于H2驱动的任意代码执行漏洞
08-17 887
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
博客
【高危】企业微信私有化2.5-2.6.93版本后台API未授权访问漏洞
08-17 1154
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。企业微信私有化版本@[2.5.0, 2.6.930000)
博客
【严重】jeecg-boot/积木报表基于SSTI的任意代码执行漏洞
08-17 956
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。官方已发布补丁:https://github.com/jeecgboot/jeecg-boot/commit/acb48179ab00e167747fa4a3e4fd3b94c78aeda5。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 27
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值