• 学会辨识「漏洞炒作」你就比别人强!


    点击关注强哥,查看更多精彩文章呀

    哈喽,大家好,我是强哥。

    昨天,最受欢迎的开源轻量级 Java 框架 Spring 被曝存在高危的 RCE(远程控制设备) 零日漏洞 ,北京大学计算中心、外媒 praetorian 、 bleepingcomputer 等站点对该漏洞进行了报道。

    炒作

    强哥也看到了很多媒体疯狂报道此事,根据网上疯传的介绍,该 RCE 漏洞源于 Spring 框架核心的 SerializationUtils#dserialize 方法,该方法基于 Java 的序列化与反序列机制,可导致远程代码执行 (RCE),使用 JDK9 及以上版本皆有可能受到影响。

    如果确实存在,那么这个 Spring 框架 RCE 漏洞的影响将远超此前的 Log4j 或 Heartbleed ,但强哥在翻了一整天,也没有看到谁能真正复现此漏洞(没有完整的 Poc)。所有内容千篇一律:

    1. WAF临时策略

    1. 临时缓解措施

    GitHub 上倒是有很多命名为 Spring core RCE 的新仓库,但也基本都是“懂的都懂”的谜语描述,没有真正的干货内容。

    不过,强哥也看到好多原来披露漏洞的文章,现在页面404了。

    另一种声音

    具体404的原因可能和下面的描述有关。

    早在 2 月 19 日 Spring 框架的仓库就出现过对该 SerializationUtils 方法的讨论,开发者 ledoyen 就指出:基于 Java 的序列化机制,SerializationUtils#dserialize 可能导致 RCE 远程代码执行漏洞,因此他提出了弃用 SerializationUtils#dserialize 的 PR #28075 :

    有人询问在该 PR 下询问“SerializationUtils#dserialize 是否应该作为漏洞报道”时, ledoyen 也进行解释:

    SerializationUtils#dserialize本身不是漏洞,使用此工具处理用户输入数据可能会导致 CVE,但该方法在内部作为缓存结果拦截器( CacheResultInterceptor) 使用的话,则不会导致任何漏洞。

    目前, SerializationUtils#dserialize在 Spring Framework 6.0 中已弃用,而对于 5.3.x 版本,则是向 Javadoc 中添加针对 SerializationUtils 工具类的警告,以提高用户的警觉意识。

    到底有没有漏洞

    首先我们来看下GitHub上在spring-framework上提出漏洞的issue吧:

    我们可以看到,目前该issue的状态已经被设置为close-invalid,不过到底是否是漏洞,作者也有让提出该issue的人将漏洞提到 https://spring.io/security-policy上。而具体的漏洞是否存在,还是需要等待后续官方披露。

    当然,我们要怎么确定到底官方是否公布了漏洞呢?

    Spring官方的具体漏洞披露地址如下:

    https://tanzu.vmware.com/security

    从上可以看出,暂时官方博客的最新漏洞公告是 CVE-2022-22963:Spring 表达式资源访问漏洞 和 CVE-2022-22950:Spring 表达式 DoS 漏洞 ,但这两个漏洞的严重程度都是中等,还未披露网传 Spring 核心框架的 RCE 高危漏洞。

    而强哥上篇推文,就可以在这里找到:

    感兴趣的小伙伴可以持续关注这个地址,如果确认是漏洞,官方应该会第一时间说明。

    强哥有话说

    可以说,漏洞问题确实非常容易拉紧人们的神经。就如上次的log4j的漏洞,导致很多人连夜升级版本,而且还是多次。

    可是,对于漏洞本身,我们还是需要有足够的辨识能力,如果真的对切身有关,同时有人真的提出了复现漏洞的方式,不妨跟着重现一下,这样,在确认漏洞的同时,自己也能从中学到许多。

    后续该漏洞的进展,强哥也会持续跟进。

    点击关注强哥,查看更多精彩文章呀

  • 相关阅读:
    前天晚上终于可以骑自行车了
    第一篇cnblog!
    使用web服务查询数据库的例子(上)
    使用网络提供的web服务开发航班查询程序
    使用web服务查询数据库的例子(下)
    .NET技术与企业级解决方案研究应用
    用正则表达式解析url
    基于原型的类继承
    Pub/Sub模式
    函数调用apply
  • 原文地址:https://www.cnblogs.com/breakingdawn/p/16081509.html
Copyright © 2020-2023  润新知