最近Spring生态接连出现了多个漏洞:
1、CVE-2022-22965 Spring Framework RCE via Data Binding on JDK 9+
用户可以通过数据绑定的方式引发远程代码执行 (RCE) 攻击漏洞,触发的条件是
- JDK 9+
- Apache Tomcat(war 包部署形式)
- Spring MVC/ Spring WebFlux 应用程序
漏洞是高危的,不过国内受影响应该不多,因为目前大部分是用JDK8,且大部分使用 Spring Boot 开发一般都是打成 jar 包内嵌Web容器运行的。如果真中了,可以升级到最新版本解决。
升级到最新版本:Spring Framework 5.3.17 Spring Boot 用户升级到:2.5.11、2.6.5
Spring 用户升级到以下安全版本:
- Spring 5.3.18+
- Spring 5.2.20+
Spring Boot 用户升级到以下安全版本:
- Spring Boot 2.6.6+
- Spring Boot 2.5.12+
2、 CVE-2022-22963 Remote code execution in Spring Cloud Function by malicious Spring Expression
该漏洞是Spring Cloud Function的,在使用路由功能时,用户可以制作特制的 SpEL 表达式作为路由表达式,从而导致用户可以 访问本地资源 的漏洞。
Spring Cloud Function是 Spring Cloud 项目中的一个子项目,提供了 Spring 开发人员利用 serverless(无服务器架构)或 FaaS(Function as a Service,功能即服务) 的功能的能力。它抽象出了所有传输细节和基础设施,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。
解决方案:手动升级到最新版本:Spring Cloud Function 3.1.7 & 3.2.3
3、CVE-2022-22950 Spring Expression DoS Vulnerability
用户可以通过制作特制的 SpEl 表达式引发 DoS(拒绝服务)漏洞。
解决方案:
升级到最新版本:Spring Framework 5.3.17+ Spring Boot 用户升级到:2.6.5+
有句话说的好,是软件总会有漏洞,Spring也不例外。因为用它的人多,所以它的漏洞也格外被人关注。
作为技术人员我们使用它,就要关注并接受它也会出现漏洞,然后想办法去解决。