咨詢服務熱線
400-6446-808
創安實驗室專欄
您的當前位置:首頁 > 創安實驗室專欄
近期創安攻防實驗室監測到Spring官方發布安全公告,披露了一(yī)個Spring框架可在JDK>=9版本下(xià)實現遠程代碼執行的漏洞(CVE-2022-22965)。此漏洞影響範圍極廣,建議客戶盡快做好自查工(gōng)作。
漏洞描述
該漏洞是SpringFramework數據綁定的一(yī)個漏洞,如果後台方法中(zhōng)接受的參數爲非基礎類型,Spring會根據前端傳入的請求正文中(zhōng)的參數的key值來查詢與其名稱所對應的getter和setter方法,攻擊者利用這一(yī)特性修改了Tomcat的一(yī)個用于日志(zhì)記錄的類的屬性,進而當Tomcat在進行寫日志(zhì)操作的時候,将攻擊者傳遞的惡意代碼寫入指定目錄的指定文件中(zhōng)。
影響範圍
漏洞編号
CVE-2022-22965
漏洞等級
嚴重
漏洞複現
目前外(wài)界Exp/PoC已公開(kāi),創安實驗室已驗證該漏洞的可利用性:
修複建議
Spring官方目前已發布安全版本,建議用戶盡快更新至安全版本,下(xià)載鏈接如下(xià)
https://github.com/spring-projects/spring-framework
(一(yī))WAF防護
在WAF等網絡防護設備上,根據實際部署業務的流量情況,實現對class.*, Class.*,*.class.*,*.Class.* 等字符串的規則過濾,并在部署過濾規則後,對業務運行情況進行測試,避免産生(shēng)額外(wài)影響。
(二)臨時修複措施
需同時按以下(xià)兩個步驟進行漏洞的臨時修複:
1、在應用中(zhōng)全局搜索@InitBinder注解,看看方法體(tǐ)内是否調用dataBinder.setDisallowedFields方法,如果發現此代碼片段的引入,則在原來的黑名單中(zhōng),添加{"class.*","Class.*","*.class.*","*.Class.*"}。(注:如果此代碼片段使用較多,需要每個地方都追加)
2、在用系統的項目包下(xià)新建以下(xià)全局類,并保證這個類被Spring 加載到(推薦在Controller所在的包中(zhōng)添加)。完成類添加後,需對項目進行重新編譯打包和功能驗證測試,并重新發布項目。
本文僅限于個人學習和技術研究,由于傳播、利用此文所提供的信息而造成刑事案件、非授權攻擊等違法行爲,均由使用者本人負責,本單位不爲此承擔任何責任。創安攻防實驗室擁有對此文章的修改和解釋權,如欲轉載或傳播此文章,必須保證此文章的完整性,包括版權聲明等全部内容。
如有侵權,請聯系後台。