哈喽,大家好,我是黛色翩翩
。
不知道昨晚大家有没有看到Spring框架曝出RCE 0day漏洞,是填上次漏洞的天坑?
还是逃过了上一劫,却遇到了这一劫呢?天道好轮回,苍天饶过谁?
漏洞
在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,
通过框架的参数绑定功能获取AccessLogValve对象并注入恶意字段值,从而触发pipeline机制并 写入任意路径下的文件。
翩翩在网上给大家找了个有鼻子有眼的文章,阅读量还不少。
今天也尝试去找了相关的发布源头,既没有找到所谓的“广东省网络安全应急响应平台”,
也没有找到各种相关文章所提到的具体发布地址。
同时也看到一些说复现的文章和截图,真真假假,假假真真。
如果真是这样,我看到的这个段子,将不是段子。
这将是史诗级打脸现场。
当然了翩翩下面也给出改漏洞的排查方法不怕一万就怕万一,总要提前了解一下。
排查方法
JDK9及以上
项目中使用了spring-beans*.jar 或 存在CachedIntrospectionResults.class文件
解决方案
目前Spring还没有具体的解决方案,目前可以采用以下两种临时方案进行防护。
- WAF等防护系统上添加过滤规则
对 “class.”,“Class.”,“.class.”,“.Class.” 等字符串进行过滤