Atlassian应对CVE-2022-22963,CVE-2022-22965的常见问题

已于 2022-04-14 15:51:11 修改
阅读量478 收藏
点赞数
分类专栏: Atlassian 文章标签: CVE-2022-22963 CVE-2022-22965
于 2022-04-14 00:37:10 首次发布
原文链接:https://confluence.atlassian.com/kb/faq-for-cve-2022-22963-cve-2022-22965-1115149136.html
版权

在这里插入图片描述

CVE-2022-22965 常见问题解答

基本信息

已发现 Spring Framework 中的关键远程代码执行漏洞 CVE-2022-22965。根据 Spring 的安全公告,此漏洞会影响在 JDK 9 及更高版本上运行的 Spring MVC 和 Spring WebFlux 应用程序。

此页面包含有关“CVE-2022-22965:通过 JDK 9+ 上的数据绑定的 Spring Framework RCE”的常见问题和解答。Atlassian会及时更新,欢迎关注。

云实例是否受到影响?

不,Atlassian的云实例没有受到任何已知漏洞的影响,客户不需要采取任何行动。我们的分析没有发现Atlassian系统或客户数据受到任何影响。出于谨慎考虑,使用受影响的Spring版本的服务将作为优先事项进行修补,以防发现新的攻击载体。

本地服务器版/数据中心版产品是否受到影响?

正在进行的调查已确定,当满足一组狭隘的前提条件时,以下本地部署的产品易受攻击:

  • Bamboo服务器版和数据中心版
  • Confluence服务器版和数据中心版
  • Jira Software服务器版和数据中心版
  • Jira Service Management服务器版和数据中心版

要成功被攻击,须满足以下所有前提条件:

  • 产品在JDK9或更高版本上运行
  • 攻击者欺骗用户,发出恶意的HTTP请求
  • 该请求包含一个有效的跨站请求伪造令牌(请注意,同源策略会阻止攻击者获得用户的有效令牌)。
  • 目标用户以 "系统管理员 "的权限登录到应用程序。
  • 仅限Jira和Confluence:目标用户还拥有一个活跃的 “安全管理员会话”(注意,这些会话默认只持续10分钟)。

产品将根据我们的数据中心和服务器错误修复政策进行更新。

以下本地服务器版产品使用受影响的Spring版本,但不易受到任何已知漏洞的攻击:

  • Bitbucket 服务器版和数据中心版
  • Crowd
  • Crucible
  • Fisheye

出于谨慎考虑,这些产品将根据我们的数据中心和服务器错误修复政策进行更新。

以下本地服务器版产品不使用 Spring,也不需要打补丁:

  • 基于Mac的Sourcetree
  • 基于Windows的Sourcetree

在补丁可用之前,是否有任何临时解决方案可以缓解此漏洞?

使用受影响的本地部署产品的客户可以从运行 JDK 9 或更高版本降级到 JDK 8 或更低版本。这将消除被攻击的可能性。这些指令可用于更改 Jira 和 Confluence 的 Java 版本:

  • Jira:https://confluence.atlassian.com/jirakb/change-the-java-version-used-by-jira-server-765594330.html
  • Confluence:https://confluence.atlassian.com/doc/change-the-java-vendor-or-version-confluence-uses-962342397.html

Marketplace 应用程序是否受到影响?

云应用程序

由 Atlassian 开发的适用于我们云产品的Marketplace应用程序目前不易受到任何已知的 CVE-2022-22965 漏洞的攻击。出于谨慎考虑,Atlassian 使用受影响的 Spring 版本开发的 Marketplace 云应用程序将作为优先事项进行修补,以防发现新的攻击媒介。

由第三方合作伙伴为我们的云产品开发的Marketplace应用程序正在积极调查中。任何被发现可被 CVE-2022-22965 利用的第三方应用程序都将在Marketplace中暂停,直到它被修补,并且受影响的客户将收到通知。

数据中心和服务器应用程序

Atlassian 正在积极调查Marketplace中的所有服务器和数据中心应用程序,以确定是否正在使用受影响的 Spring 版本。如果检测到使用受影响的 Spring 版本的应用程序, Marketplace合作伙伴将收到一张漏洞函,要求在加急的时间内提供补丁。任何被发现可被 CVE-2022-22965 利用的 Marketplace 应用程序都将从 Marketplace 隐藏,并通知受影响的客户。

请注意,Atlassian Marketplace 中未列出的应用程序未经过 Atlassian 审核。客户应直接联系这些开发人员,以获取有关其应用程序中此 CVE 的信息。

应用开发者在哪里可以找到更多信息?

注意:CVE-2022-22965 Spring Framework RCE 调查

Atlassian产品是否容易受到CVE-2022-22963的攻击?

CVE-2022-22963 是 Spring Cloud Function 包中的一个漏洞,与随后发布的 CVE-2022-22965 无关。Atlassian 云实例和本地产品不易受到 CVE-2022-22963 的任何已知漏洞的攻击。在这里插入图片描述

龙智DevSecOps解决方案
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
atlassian-agent-v1.2.3.zip
07-25
atlassian-agent-v1.2.3.zip
CVE-2022-22963 SpringCloud Function SpEL注入漏洞分析
阿道夫的博客
01-30 2046
在研究分析了CVE-2022-22980 Spring Data MongoDBSpEL表达式注入漏洞之后,想起之前在spring4shell爆出之前,存在于SpringCloudFunction中的一个SpEL表达式注入漏洞,编号为CVE-2022-22963。在这里对其进行一波分析和学习。
CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行 漏洞复现
热爱学习,喜欢折腾!
08-28 5076
SpringCloud 是一套分布式系统的解决方案,实现就是函数式编程,在视频转码、音视频转换、数据仓库ETL等与状态相关度低的领域运用的比较多。开发者无需关注服务器环境运维等问题上,专注于自身业务逻辑实现即可。在Spring Cloud Function版本3.1.6,3.2.2和更早的不受支持的版本中,当使用路由功能时,用户可以提供特制的SpEL作为路由表达式,这可能导致远程执行代码和访问本地资源。............
Spring Cloud Function SPEL表达式注入漏洞(CVE-2022-22963)
chaojixiaojingang
04-06 7489
1.漏洞描述 SpringCloudFunction是SpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 2.影响版本 Spring Cloud Function 3.0.0 <...
『Java CVE』CVE-2022-22963: Spring Cloud Function SPEL表达式注入RCE
Ho1aAs‘s Blog
07-28 1380
## 漏洞简介 向`/functionRouter`路由发送headers带有`spring.cloud.function.routing-expression`键的POST包时,会触发SPEL解析该键值 ## 影响范围 3.0.0
CVE-2022-22963:Spring Cloud Function SpEL 远程代码执行漏洞
m0_59092234的博客
09-02 702
SpringCloud Function作为SpringCloud家族成员最早在2017年提出,旨在为快速发展的Serverless市场提供一个Spring的接入路径,使用SpringCloud Function进行无服务(我这里直接称为函数式编程)的项目开发可以大大节约成本,同时对于SpringBoot熟悉的人可以迅速上手最近Spring Cloud Function组件爆出0day – SpEL表达式注入导致RCE,官方commit中的test已经公开对应细节。
atlassian-agent.zip
08-03
atlassian-agent.zip
jira扩展需要atlassian-extras-3.2.jar
04-25
jira扩展需要atlassian-extras-3.2.jar
atlassian-python-api:Atlassian Python REST API包装器
02-05
atlassian-python-api:Atlassian Python REST API包装器
atlassian-extras-3.2.jar
10-19
atlassian-extras-3.2.jar
CVE-2022-22963 复现Demo
04-14
CVE-2022-22963 复现Demo,A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application to run on Tomcat as a WAR deployment. If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it. 存在任何使用问题可以私信本人。
漏洞复现-CVE-2022-22963-Spring Cloud Function SpEL RCE 远程代码执行漏洞
m0_65454485的博客
08-08 1702
漏洞复现-CVE-2022-22963-Spring Cloud Function SpEL RCE 远程代码执行漏洞
spring漏洞复现(cve-2022-22947,cve-2022-22963,cve-2022-22965)
qq_57939909的博客
08-30 1245
spring漏洞复现
CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行漏洞 复现
weixin_45715461的博客
07-10 2252
CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行漏洞 复现
【vulhub系列】CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行漏洞复现
Wiofgb的博客
08-28 2894
记录一次CVE-2022-22963 Spring Cloud Function SpEL 远程代码执行漏洞复现
后端开发是一个涉及广泛技术和工具的领域.docx
最新发布
04-30
后端开发是一个涉及广泛技术和工具的领域,这些资源对于构建健壮、可扩展和高效的Web应用程序至关重要。以下是对后端开发资源的简要介绍: 首先,掌握一门或多门编程语言是后端开发的基础。Java、Python和Node.js是其中最受欢迎的几种。Java以其跨平台性和丰富的库而著名,Python则因其简洁的语法和广泛的应用领域而备受欢迎。Node.js则通过其基于JavaScript的单线程异步I/O模型,为Web开发提供了高性能的解决方案。 其次,数据库技术是后端开发中不可或缺的一部分。关系型数据库(如MySQL、PostgreSQL)和非关系型数据库(如MongoDB、Redis)各有其特点和应用场景。关系型数据库适合存储结构化数据,而非关系型数据库则更适合处理大量非结构化数据。 此外,Web开发框架也是后端开发的重要资源。例如,Express是一个基于Node.js的Web应用开发框架,它提供了丰富的API和中间件支持,使得开发人员能够快速地构建Web应用程序。Django则是一个用Python编写的Web应用框架,它采用了MVC的软件设计模式,使得代码结构更加清晰和易于维护。
华为数字化转型实践28个精华问答glkm.pptx
04-30
华为数字化转型实践28个精华问答glkm.pptx
atlassian-extras-2.2.2.jar
11-29
atlassian-extras-2.2.2.jar是Atlassian软件的一个附加组件,它是一个Java Archive(JAR)文件。Atlassian是一家提供软件开发和协作工具的公司,他们提供了一系列流行的软件产品,如JIRA、Confluence、Bitbucket等。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值