0
点赞
收藏
分享

微信扫一扫

Spring4Shell Spring漏洞調査

爱我中华8898 2022-04-01 阅读 82

最近爆出Java的Spring框架有像Log4Shell那样的可远程执行代码漏洞。这是个非常危险的漏洞。攻击者可通过这个漏洞在服务器里执行任何命令和代码。常有发生的是利用被入侵的服务器挖矿。

下面这个是VMware的调查。说是如果利用的是SpringBoot的可执行jar的防止启动项目的情况不受影响。打成war包发布到tomcat上的情况才可能有这个漏洞。

下面整理一下漏洞发生条件:

  • JDK 9 或更高的版本
  • 用Apache Tomcat服务器
  • 执行war包
  • 有spring-webmvc或者spring-webflux依赖

受影响的Spring框架版本

  • 5.3.0 至 5.3.17
  • 5.2.0 至 5.2.19
  • 比以上更老的版本

更新到下面的版本可以修补漏洞:

  • Spring Framework
    • 5.3.18以上
    • 5.2.20以上

参考链接:

​​​​​​Spring Framework RCE, Early Announcement

CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+ | Security | VMware Tanzu

举报

相关推荐

0 条评论