【漏洞预警】Spring MVC远程代码执行漏洞

已于 2022-04-06 10:16:15 修改
阅读量1.1k 收藏
点赞数
分类专栏: 热点案例分析 文章标签: java spring
于 2022-04-03 16:46:10 首次发布
原文链接:https://www.moresec.cn/
版权

一、预警范围

使用了 Spring MVC 框架的应用系统且 jdk 版本>=9

二、漏洞描述

Spring MVC 框架的参数绑定功能提供了将请求中的参数绑定控制器方法中参数对象的成员变量,攻击者通过构造恶意请求获取 AccessLogValve 对象并注入恶意字段值触发 pipeline 机制可写入任意路径下的文件。有专业机构监测发现该漏洞已被攻击者利用,漏洞细节已经在小范围公开。鉴于 Spring MVC 框架应用广泛,请各单位组织排查,有关系统是否使用了受影响的 Spring MVC 框架。

三、评估危害

漏洞利用难度低,应用范围较广,官方暂未发布修复补丁。

四、漏洞检查排查方法

(一)JDK 版本号排查
在业务系统的运行服务器上,执行“java -version”命令查看运行的 JDK 版本,如果版本号小于等于 8,则不受漏洞影响。
(二)Spring 框架使用情况排查
1. 如果业务系统项目以 war 包形式部署,按照如下步骤进行判断。
⑴ 解压 war 包:将 war 文件的后缀修改成.zip ,解压 zip 文件
⑵ 在解压缩目录下搜索是否存在 spring-beans-*.jar 格式的 jar 文件(例如 spring-beans-5.3.16.jar),如存在则说明业务系统使用了spring 框架进行开发。
⑶ 如果 spring-beans-*.jar 文件不存在,则在解压缩目录下搜索
CachedIntrospectionResuLts.class 文件是否存在,如存在则说明业务系统使用了 Spring 框架开发。
2. 如果业务系统项目以 jar 包形式直接独立运行,按照如下步骤进行判断。
⑴解压 jar 包:将 jar 文件的后缀修改成.zip,解压 zip 文件。
⑵在解压缩目录下搜索是否存在 spring-beans-*.jar 格式的 jar 文件
(例如 spring-beans-5.3.16.jar),如存在则说明业务系统使用了spring 框架进行开发。
⑶如果 spring-beans-*.jar 文件不存在,则在解压缩目录下搜索
CachedIntrospectionResuLts.class 文件是否存在,如存在则说明业务系统使用了 spring 框架进行开发。
(三)综合判断
在完成以上两个步骤排查后,同时满足以下两个条件可确定受此漏洞
影响:
⑴ JDK 版本号在 9 及以上的;
⑵ 使用了 spring 框架或衍生框架。

五、处置建议

(一)WAF 防护
在 WAF 等网络防护设备上,根据实际部署业务的流量情况,实现对
{"class.*","Class. *","*. class.*", "*.Class.*"} 等字符串的规
则过滤,并在部暑过滤规则后,对业务运行情况进行测试,避免产生
额外影响。
(二)临时修复措施
目前,spring 官方无官方补丁,建议采用以下二个临时方案进行防护,
并及时关注官方补丁发布情况,按官方补丁修复漏洞。 3
需同时按以下两个步骤进行漏洞的临时修复:
1. 在应用中全局搜索@InitBinder 注解,看看方法体内是否调用
dataBinder.setDisallowedFields 方法,如果发现此代码片段的引入,
则在原来的黑名单中,添加{"class.*","Class. *","*. class.*",
"*.Class.*"}。 (注:如果此代码片段使用较多,需要每个地方都追加)
2. 在应用系统的项目包下新建以下全局类,并保证这个类被 Spring
加载到(推荐在 Controller 所在的包中添加).完成类添加后,需对项
目进行重新编译打包和功能验证测试。并重新发布项目。
import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import
org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;
@ControllerAdvice
@Order(10000)
public class GlobalControllerAdvice{
@InitBinder
public void setAllowedFields(webdataBinder dataBinder){
String[]abd=new
string[]{"class.*","Class.*","*.class.*","*.Class.*"};
dataBinder.setDisallowedFields(abd);
}
}
2022-03-29
一只晨兴夜不得寐的运维人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring mvc 参数绑定漏洞
03-20
NULL 博文链接:https://yfm049.iteye.com/blog/860494
Spring MVC漏洞合集
小小猪的博客
08-18 2421
Spring MVC 目录穿越漏洞(CVE-2018-1271) 漏洞简介 2018年04月05日,Pivotal公布了Spring MVC存在一个目录穿越漏洞(CVE-2018-1271)。Spring Framework版本5.0到5.0.4,4.3到4.3.14以及较旧的不受支持的版本允许应用程序配置Spring MVC以提供静态资源(例如CSS,JS,图像)。当Spring MVC的静态资源存放在Windows系统上时,攻击可以通过构造特殊URL导致目录遍历漏洞漏洞影响 Spring F
想不到!Spring MVC 拦截器也有漏洞。。
Java技术栈,分享最主流的Java技术
01-21 337
点击关注公众号,Java干货及时送达1 基础拦截器和调用流程的探索学习、探索和实现过程很多都基于大佬的文章:https://landgrey.me/blog/19/https://land...
Spring MVC漏洞学习总结
热门推荐
bcbobo21cn的专栏
07-05 1万+
Spring MVC命令执行漏洞 http://book.51cto.com/art/201204/330094.htm 《白帽子讲Web安全》第12章Web框架安全,本章讲述了一些Web框架中可以实施的安全方案。Web框架本 身也是应用程序的一个组成部分,只是这个组成部分较为特殊,处于基础和底层的位置。Web框架为安全 方案的设计提供了很多便利,好好利用它的强大功能,能够
Spring 框架远程代码执行漏洞(CVE-2022-22965)
panda的博客
04-08 4688
Spring 框架远程代码执行漏洞(CVE-2022-22965)
Spring Framework远程代码执行漏洞(CVE-2022-22965)
qq_50854662的博客
06-27 934
Spring Framework远程代码执行漏洞(CVE-2022-22965)
预警事项:Fastjson反序列化远程代码执行漏洞风险预警
05-24
阿里巴巴发布关于Fastjson安全公告,在1.2.80及以下版本中存在反序列化风险。Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean...攻击者利用该漏洞可实现在目标机器上的远程代码执行
ssm(spring+spring mvc+mybatis)+bootstrap开发预警后台管理系统
06-14
自己花5天时间写的,带分页查询 模糊查询 按时间查询 js验证手机 验证身份 验证姓名, ... 运行环境 jdk7+tomcat7+mysql+eclipse+maven 项目技术(必填) ...spring+spring mvc+mybatis+bootstrap+jquery+jsp
CVE-2018-2893:Oracle WebLogic Server 远程代码执行漏洞分析预警
07-19
**CVE-2018-2893:Oracle WebLogic Server 远程代码执行漏洞详解** Oracle WebLogic Server 是一款由美国Oracle公司推出的Java EE架构应用服务器,它提供了用于开发、集成、部署和管理大型分布式Web应用、网络应用...
Spring framework(cve-2010-1622)漏洞利用指南 .docx
11-24
Spring framework(cve-2010-1622)漏洞利用指南 .docx
详解Javaweb中常见漏洞的防御
nextdoor6的博客
07-20 5319
上一篇给大家介绍了SpringMVC中常见的客户端数据输入点,这一篇给大家讲解下java中常见漏洞的防御方法。 0x01.sql注入 下面我们就用利用SpringMVC自带的数据库操作类jdbcTemplate举例。不如下面Dao中有如下的两个函数。 函数一save使用的是绑定变量的形式很好的防止了sql注入,而queryForInt_函数接收id参数直接进行了拼接,测试时出现sql
Spring框架的反序列化远程代码执行漏洞分析(转)
weixin_30342209的博客
07-22 285
欢迎和大家交流技术相关问题: 邮箱: jiangxinnju@163.com 博客园地址: http://www.cnblogs.com/jiangxinnju GitHub地址: https://github.com/jiangxincode 知乎地址: https://www.zhihu.com/people/jiangxinnju 漏洞介绍 国外的研究人员zero thoughts发现了一个...
【干货】Spring远程命令执行漏洞(CVE-2022-22965)原理分析和思考
最新发布
小司机的奥拓
07-22 787
上周网上爆出Spring框架存在RCE漏洞,野外流传了一小段时间后,Spring官方在3月31日正式发布了漏洞信息,漏洞编号为CVE-2022-22965。本文章对该漏洞进行了复现和分析,希望能够帮助到有相关有需要的人员进一步研究。##
京东消防猿的Spring 框架的反序列化漏洞的分析与实践
qq_41534566的博客
01-12 1398
分析 介绍 漏洞介绍 国外的研究人员zero thoughts发现了一个Spring框架的反序列化远程代码执行漏洞spring-tx.jar包中的org.springframework.transaction.jta.JtaTransactionManager类存在JNDI反序列化问题。只要创建一个JtaTransactionManager 对象让userTransactionName
java/spring 等相关框架 漏洞原理汇总
FREEDOM
03-31 1334
JNDI 中的 rmi或ldap 所造成漏洞 rmi 客户端与服务端之间 传输的是序列化后的类实例对象,然后在客户端在反序列化生成对象,并初始化调用构造方法。 ldap 协议也会造成本地执行远程class文件的问题,不同与rmi,ldap 会加载远程class类文件到本进行实例化构造方法!!! 参考:https://liuhuiyao.blog.csdn.net/article/details/121877227 log4j的 jndi漏洞 log4j-2.x 版本jndi漏洞(使用ldap协议.
我滴个乖乖,我复现了Spring漏洞,害怕!
Java后端技术
04-02 248
往期热门文章:1、小学生们在B站讲算法,网友:我只会阿巴阿巴 2、Spring爆出比Log4j2还大的漏洞? 3、Objects.equals 有坑!!! 4、Redis 官方可视化工具,功能真心强大! 5、xxl-job 和 ElasticJob比,谁牛?前天发布了《Spring爆出比Log4j2还大的漏洞?》这篇文章,没想到阅读量居然这么高。这篇文章其实是我那天晚上知...
Spring 爆高危漏洞,官方已证实
白面小生的博客
04-01 2584
Springcloud 漏洞没几天,Spring 框架又报漏洞Spring 官方: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement 漏洞描述: 用户可以通过数据绑定的方式引发远程代码执行 (RCE) 攻击漏洞,触发的前提条件如下: JDK 9+ Apache Tomcat(war 包部署形式) Spring MVC/ Spring WebFlux 应用程序 总结: JDK 9 或更高版本 A
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值