侧边栏壁纸
  • 累计撰写 122 篇文章
  • 累计创建 76 个标签
  • 累计收到 74 条评论

3月31日,Spring官方已证实漏洞存在并更新补丁包

Polar.
2022-03-31 / 0 评论 / 0 点赞 / 85 阅读 / 563 字 / 正在检测是否收录...
温馨提示:
本文最后更新于 2022-04-02,若内容或图片失效,请留言反馈。部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

前边网传漏洞(Spring爆出安全漏洞?),时隔2天,官方发布了新版本用来修复此次的漏洞

官方博客原文:https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

漏洞信息

漏洞等级:High
CVE编号:CVE-2022-22965
漏洞描述:Spring Framework 是一个开源应用框架,旨在降低应用程序开发的复杂度。在JDK9及以上版本环境中,一些新的版本特性,可以使攻击者绕过一些安全特性,借助某些中间件构造数据包修改敏感文件,达到远程代码执行目的。

漏洞影响

  1. JDK 9 或更高版本
  2. 应用程序作为 WAR 部署在 Tomcat 上运行
  3. Spring Framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 以及更早的版本
  4. 该漏洞涉及ClassLoader访问,因此除了针对 Tomcat 特定报告的特定攻击外ClassLoader,其他攻击也可能针对不同的 custom ClassLoader

解决方案

  1. 升级到安全版本
Spring Framework >= 5.3.18
Spring Framework >= 5.2.20
Spring Boot >= 2.5.12
Spring Boot >= 2.6.6
  1. 降级Java 8
  2. 开启WAF防护

任选1种方法即可解决

0
广告 广告

评论区