漏洞情报 | Spring RCE 0day高危漏洞预警

3月29日，Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制，可导致远程代码执行 (RCE)，使用JDK9及以上版本皆有可能受到影响。

成都创新互联长期为数千家客户提供的网站建设服务，团队从业经验10年，关注不同地域、不同群体，并针对不同对象提供差异化的产品和服务；打造开放共赢平台，与合作伙伴共同营造健康的互联网生态环境。为澄海企业提供专业的网站制作、成都网站建设，澄海网站改版等技术服务。拥有10余年丰富建站经验和众多成功案例,为您定制开发。

相关监测发现该漏洞可能已被远程攻击者利用，广东省网络安全应急响应中心连夜发布预警通知，考虑到Spring框架的广泛应用，FreeBuf对漏洞评级为：危险。

漏洞描述：

作为目前全球最受欢迎的Java轻量级开源框架，Spring允许开发人员专注于业务逻辑，简化Java企业级应用的开发周期。

但在Spring框架的JDK9版本(及以上版本)中，远程攻击者可在满足特定条件的基础上，通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值，从而触发pipeline机制并 写入任意路径下的文件。

目前已知，触发该漏洞需要满足两个基本条件：

• 使用JDK9及以上版本的Spring MVC框架
• Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class

漏洞影响范围：

• JDK9 <= Spring Cloud Function
• 执行“java-version”命令可查看JDK版本

解决方案(临时)：

目前Spring官方并没有发布与此漏洞相关的补丁文件，相关漏洞POC也暂未被公开。考虑到自3月29日起已在小范围传播，鉴于Spring MVC的广泛应用，各企业仍需警惕远程攻击者，并采用广东省网络安全应急响应中心公布临时方案加强防护。FreeBuf将密切关注Spring官方的补丁发布情况。

临时方案1：WAF临时策略

在WAF等网络防护设备上，根据实际部署业务的流量情况，实现对：

“class.*”，“Class.*”，“*.class.*”，“*.Class.*”

等字符串的规则过滤，并在部署过滤规则后，对业务允许情况进行测试，避免产生额外影响。

临时方案2：临时缓解措施

在应用系统的项目包下新建以下全局类，并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加).完成类添加后，需对项目进行重新编译打包和功能验证测试。并重新发布项目。

import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;



@ControllerAdvice
@Order(10000)
public class a{
@InitBinder
public void setAllowedFields(WebDataBinder dataBinder) {
String[] abd = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};
dataBinder.setDisallowedFields(abd);
}
}

分享题目：漏洞情报 | Spring RCE 0day高危漏洞预警
URL地址：http://www.csdahua.cn/qtweb/news15/556165.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网