近期Spring爆出高危远程代码执行(RCE)漏洞,影响Spring MVC/Spring WebFlux在JDK 9+及Apache Tomcat上的war包部署。虽然Spring Boot默认jar包部署不受影响,但建议用户升级至Spring 5.3.18+/5.2.20+或Spring Boot 2.6.6/2.5.12+以确保安全。对于无法升级的用户,提供了临时解决方案。此次漏洞主要影响JDK 9+用户,JDK 8及以下用户暂时安全。
前几天爆出来的 Spring 漏洞,刚修复完又来?
| 漏洞 | CVE-2022-22965 |
|---|---|
| 漏洞名称 | 远程代码执行漏洞 |
| 严重级别 | 高危 |
| 影响范围 | Spring Framework - 5.3.0 ~ 5.3.17 - 5.2.0 ~ 5.2.19 - 老版本及其他不受支持的版本 |
这次是高危,必须引起重视
用户可以通过数据绑定的方式引发远程代码执行 (RCE) 攻击漏洞,触发的前提条件如下:
- JDK 9+
- Apache Tomcat(war 包部署形式)
- Spring MVC/ Spring WebFlux 应用程序
使用 Spring Boot 开发一般都是打成 jar 包,默认内嵌 Tomcat 形式,这对使用 Docker/ 微服务这种应用特别合适,但也可以切换为 war 包部署,但很少使用,但也不是没有,比如说一般的传统项目,为了兼容老环境,或者运维统一维护 Tomcat 环境,可能也会使用 war 包部署。
所以,如果你使用的是默认的 Spring Boot 可执行 jar 包默认内嵌 Tomcat 部署,则不受影响,但由于这个漏洞的普遍性,可能还有其他方式进行利用。。难道这就是 Early Announcement 的含义?还来,真要搞疯了!
如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。
解决方案
Spring 用户升级到以下安全版本:
- Spring 5.3.18+
- Spr
最低0.47元/天 解锁文章
扫一扫
3338
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
