侧边栏壁纸
  • 累计撰写 122 篇文章
  • 累计创建 76 个标签
  • 累计收到 74 条评论

Spring爆出安全漏洞?

Polar.
2022-03-30 / 1 评论 / 0 点赞 / 128 阅读 / 431 字 / 正在检测是否收录...
温馨提示:
本文最后更新于 2022-03-30,若内容或图片失效,请留言反馈。部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

3月29日晚,网上曝出Spring的安全漏洞,网传比上次的log4j漏洞还严重。

我去Spring官网逛了一圈,官方博客上发现了3月28日的一篇漏洞博客CVE report published for Spring Framework,是说Spring表达式会引起Dos的漏洞,官方建议升级版本到2.5.11或2.6.5

看内容应该不是本次网传的漏洞

Spring漏洞发布页:https://tanzu.vmware.com/security

网传漏洞受影响范围

  1. JDK版本号在9及以上的
  2. 使用了spring框架或衍生框架 (引入spring-beans-.jar依赖包或存在CachedIntrospectionResuLts.class文件)
    需同时满足这2个条件才会受影响

网传漏洞修复建议

  1. 打开WAF防护,实现对“class.”“Class.”“.class.”“.Class.”等字符串的规则过滤
  2. 使用JDK8

网友们的调侃

微信图片_20220330220817

微信图片_20220330220845

微信图片_20220330220852

5d26a4cb40a3e7523ec9362c53e6eb30

最后,版本任你发,我用java8!!!java8 YYDS!!!

0
广告 广告

评论区