最近爆出Java的Spring框架有像Log4Shell那样的可远程执行代码漏洞。这是个非常危险的漏洞。攻击者可通过这个漏洞在服务器里执行任何命令和代码。常有发生的是利用被入侵的服务器挖矿。
下面这个是VMware的调查。说是如果利用的是SpringBoot的可执行jar的防止启动项目的情况不受影响。打成war包发布到tomcat上的情况才可能有这个漏洞。
下面整理一下漏洞发生条件:
- JDK 9 或更高的版本
- 用Apache Tomcat服务器
- 执行war包
- 有spring-webmvc或者spring-webflux依赖
受影响的Spring框架版本
- 5.3.0 至 5.3.17
- 5.2.0 至 5.2.19
- 比以上更老的版本
更新到下面的版本可以修补漏洞:
- Spring Framework
- 5.3.18以上
- 5.2.20以上
参考链接:
Spring Framework RCE, Early Announcement
CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+ | Security | VMware Tanzu
