关于Spring Framework路径遍历漏洞(CVE-2024-38816)的预警提示和修复方案

已于 2024-10-24 14:36:25 修改
阅读量6.7k 收藏 9
点赞数 14
分类专栏: 技术交流 文章标签: spring java 后端 springboot 漏洞 1024程序员节
于 2024-10-15 10:43:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40986713/article/details/142938365
版权

一、漏洞详情

Spring Framework是一个Java应用程序框架,旨在提供高效且可扩展的开发环境。

近日,监测到Spring Framework中修复了一个路径遍历漏洞(CVE-2024-38816)。Spring Framework受影响版本中,使用WebMvc.fnWebFlux.fn(在Spring Web MVCSpring WebFlux框架中)提供静态资源的应用程序容易受到路径遍历攻击,当Web 应用程序使用RouterFunctions提供静态资源并且应用程序使用FileSystemResource或类似的配置来从文件系统提供静态文件时,威胁者可构造恶意HTTP请求访问目标文件系统上Spring 应用程序进程有权访问的任意文件,从而导致数据泄露。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Spring Framework 5.3.0 - 5.3.39

Spring Framework 6.0.0 - 6.0.23

Spring Framework 6.1.0 - 6.1.12

以及不受支持的旧版本。

三、漏洞测试

测试环境demo
https://github.com/weliveby/cve-2024-38816-demo

漏洞测试

GET /static/%5c/%5c/../../v.txt HTTP/1.1
Host: 127.0.0.1:8087
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

在这里插入图片描述
在这里插入图片描述

四、修复方案

方案修复方法存在的问题或困难
方案1Spring Framework 5.3.x:升级到5.3.40(仅限企业支持)
Spring Framework 6.0.x:升级到6.0.24(仅限企业支持)
Spring Framework 6.1.x:升级到6.1.13或更高版本		1.springboot兼容性问题
2.单独升级springframework存在的兼容性问题
方案2升级jdk到17,升级springboot到3.3.x1.jdk兼容性问题
2.springboot兼容性问题
方案3启用 Spring Security HTTP 防火墙
方案4应用程序在 Tomcat 或 Jetty 上运行。1.docker或者微服务部署问题
2.jenkins打包问题
Spring Framework 路径遍历漏洞复现(CVE-2024-38819)
iSee857的博客
12-16 2104
Spring Framework 存在路径遍历漏洞,当应用程序使用WebMvc.fn 或 WebFlux.fn 提供静态资源时,恶意攻击者通过编写特殊HTTP请求并获取目标系统上任何由Spring应用程序正在运行的进程访问的文件,从而导致信息泄露。
vulhub通关实战一(附docker vulhub 虚拟机环境)
悦分享
12-26 1993
docker vulhub 虚拟机环境:docker-compose up -d 启动服务:登录7001端口用户名weblogic,密码Oracle@123。
springboot 修复 Spring Framework 特定条件下目录遍历漏洞CVE-2024-38816
记录点滴
10-14 8023
springboot2.x升级到3.x实战经验总结安全版本6.0.24 6.1.13 是springboot3.x使用的版本,springboot3.x的用户只需要将springboot升级到最新版本即可,官方已发布最新版本,如下图所示,springboot3.2以下版本已不再提供更新维护。祝大家升级顺利!
Spring Boot: 2.7.x 至 2.7.18 及更旧的版本,漏洞说明
曼陀罗的博客
08-16 6752
Spring Framework 版本 5.3.0 至 5.3.38 及更早的不受支持版本中,如果应用程序评估了用户提供的 SpEL(Spring Expression Language)表达式,攻击者可以利用特制的表达式导致拒绝服务(DoS)攻击。Spring Framework: 5.3.0 至 5.3.38 及更早的版本 Spring Boot: 2.7.x 至 2.7.18 及更早的版本建议受影响版本的用户升级到以下修复版本: Spring Boot: 3) 缓解措施 建议受影响版本的用户升
Springboot 2.x升级到3.x
qq_15255121的专栏
11-29 1065
运维在扫描项目的时候发现了官方发布的漏洞,我们使用的是spring框架的2.x系列,WebMvc依赖于5.3系列,描述说需要更新到5.3.40,但是官方迟迟不再更新。同时发现官方说5.3系列也就更新到2024。既然这样,我们就升级springboot到3.x系列,mvc自然就更新到了6.1系列。下面把升级过程记录下。我们这里可以查询要升级的版本。
Spring框架漏洞(附修复方法)
C233333235的博客
08-07 1443
SpringJava EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架。框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架。
漏洞分析 | Spring Framework路径遍历漏洞CVE-2024-38816
WangsuSecurity的博客
11-07 5292
当同时满足使用 RouterFunctions FileSystemResource 来处理提供静态文件时,攻击者可构造恶意请求遍历读取系统上的文件
CVE-2024-38816
GalaxySpaceX的博客
10-18 3323
CVE-2024-38816
spring Framework 特定条件下目录遍历漏洞CVE-2024-38816修复
hvang1988的专栏
11-06 1687
spring Framework 特定条件下目录遍历漏洞CVE-2024-38816修复
漏洞分析 Spring Framework路径遍历漏洞CVE-2024-38816
最新发布
brrdg_sefg的博客
02-23 1654
VMware Spring Framework是美国威睿(VMware)公司的一套开源的JavaJavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。近期,监测到Spring Framework在特定条件下,存在目录遍历漏洞(网宿评分:高危、CVSS 3.1 评分:7.5):当同时满足使用 RouterFunctions FileSystemResource 来处理提供静态文件时,攻击者可构造恶意请求遍历读取系统上的文件。
spring-framework-5.0.5.RELEASE 漏洞修复
04-11
漏洞详情: spring-messaging模块远程代码执行(CVE-2018-1270) STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它允许STOMP客户端与任意STOMP消息代理(Broker)进行交互。Spring框架中的spring-messaging模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,因此攻击者可以通过构造恶意的消息来实现远程代码执行。 Windows平台Spring MVC框架目录遍历CVE-2018-1271) Spring MVC框架支持配置静态资源文件(例如CSS、JS、图片等)访问,当静态文件存储在Windows平台的文件系统时,攻击者可以通过构造一个恶意的URL来实现目录遍历攻击。 Spring框架Multipart内容污染(CVE-2018-1272) 当使用Spring MVC或Spring WebFlux框架的应用收到一个客户端请求,并用它来向另一个服务端发送multipart请求时,攻击者可利用该漏洞往里插入恶意内容。该漏洞的利用有一定的限制,要求攻击者能够猜到multipart字段的boundary值,因此影响较低。
代码审计-dubbo admin <=2.6.1远程命令执行漏洞
weixin_47208161的博客
02-12 6725
前置输入材料安全目标需求架构分析供应链安全源代码审查依赖结构矩阵(Dependency Structure Matrices,DSM)数据流信任边界数据存贮威胁列表otter mana...
一个CVE漏洞预警知识库
weixin_46211944的博客
09-11 579
CVE-2023-20858:VMware Carbon Black App Control 远程代码执行漏洞通告。CVE-2023-27997:Fortinet FortiOS SSL-VPN 远程代码执行漏洞通告。CVE-2023-25194:Apache Kafka Connect 远程代码执行漏洞通告。CVE-2023-25610:FortiOS & FortiProxy 远程代码执行漏洞通告。CVE-2021-42756 CVE-2022-39952:Fortinet 多个漏洞通告。
springboot 修复 Spring Framework 特定条件下目录遍历漏洞CVE-2024-38819)
记录点滴
10-30 3141
刚解决Spring Framework 特定条件下目录遍历漏洞CVE-2024-38816)没几天,又来一个新的,真是哭笑不得啊。不过没关系,springboot官方又发布了新的版本3.3.5,将项目升级到该版本即可从springboot2.x升级到3.x请查看springboot2.x升级到3.x实战经验总结。
目录遍历漏洞
qq_68163788的博客
05-22 3764
目录遍历漏洞(Directory Traversal Vulnerability),也称为路径遍历漏洞,是指攻击者可以在没有得到授权的情况下,访问服务器上的敏感文件或目录,甚至可以直接获取服务器的控制权。 目录遍历漏洞的原理是利用Web应用程序中对用户输入数据的不完全过滤验证,攻击者可以构造特定的URL请求,通过在URL中添加../等符号,来访问系统中的其他目录或文件。例如,攻击者可以通过以下URL访问系统中的敏感文件:http://www.example.com/index.php?page=../
ubuntu22.04 升级到LTS
10-10
Ubuntu 22.04 LTS(长期支持版),代号“Jammy Jellyfish”,是一个长期维护支持的版本,旨在提供稳定的环境给用户。如果你想要将现有的 Ubuntu 22.04 升级到下一个LTS版本,通常建议等待官方发布新的LTS周期,因为非正式升级可能会导致不稳定或者兼容性问题。 在Ubuntu 22.04稳定期间,你可以通过以下步骤来关注并进行升级: 1. **保持更新**: 确保你的系统是最新的,因为更新可能包含未来的LTS版本转换的提示。运行`sudo apt update && sudo apt upgrade`。 2. **检查当前版本**: 使用 `lsb_release -cs`命令查看当前系统的发行系列版本,确认是否满足升级条件。 3. **跟踪LTS周期**: Ubuntu有一个固定的时间表,大约每两年发布一个新的LTS版本。例如,从22.04到下一个LTS通常是24.04。访问Ubuntu网站或订阅其博客获取最新消息。 4. **等待官方公告**: Ubuntu会在官方发布通知时告知何时可以安全地进行升级。这通常包括新版本的稳定测试推荐安装日期。 5. **进行升级**: 当Ubuntu正式宣布LTS版本可用时,你可以通过`sudo do-release-upgrade`来进行升级。但这应该在官方指导下来操作,以防出现问题。 **相关问题--:** 1. Ubuntu 22.04的下一版LTS是什么时候发布的? 2. 升级过程中如何避免数据丢失? 3. 如何手动检查我的系统是否满足升级到LTS的要求?
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

泰山AI

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值