Spring Framework遠端程式碼執行漏洞
釋出時間 2022-03-31
漏洞等級 High
CVE編號 CVE-2022-22965
影響範圍:同時滿足以下三個條件可確定受此漏洞影響:
JDK 版本 >= 9
使用了 Spring 框架或衍生框架
專案中 Controller 引數接收實體類物件並存在程式碼呼叫
1.漏洞描述
Spring Framework 是一個開源應用框架,旨在降低應用程式開發的複雜度。它是輕量級、鬆散耦合的。它具有分層體系結構,允許使用者選擇元件,同時還為 J2EE 應用程式開發提供了一個有凝聚力的框架。但是在JDK9及以上版本環境中,一些新的版本特性,可以使攻擊者繞過一些安全特性,藉助某些中介軟體構造資料包修改敏感檔案,達到遠端程式碼執行目的。
2.漏洞影響排查方法
2.1.JDK 版本號排查
在業務系統的執行伺服器上,執行“java -version"命令檢視執行的 JDK 版本。
如果版本號小於等於 8,則不受此漏洞影響。
(不受影響的版本)?
2.2.Spring 框架使用情況排査
如果業務系統專案以 war(jar) 包形式部署,按照如下的步驟進行判斷:
解壓 war(jar) 包:將war(jar)檔案的字尾修改成 .zip ,解壓 zip 檔案。 在解壓縮目錄下搜尋是否存在 spring-beans-*.jar 格式的檔案(例如spring-beans-5.3.16.jar),如存在則說明業務系統使用了Spring框架進行開發。 如果spring-beans-*.jar檔案不存在,則在解壓縮目錄下搜尋CachedlntrospectionResults.class檔案是否存在,如存在則說明業務系統使用了Spring框架進行開發。
3.解決方案
3.1.版本升級
目前,Spring官方已釋出漏洞修復版本,請使用者及時更新至最新版本:
https://github.com/spring-projects/spring-framework/tags
安全版本:
Spring Framework == 5.3.18
Spring Framework == 5.2.20
3.2.緩解措施
無法升級版本的使用者,建議採用以下兩個臨時方案進行防護。
UWAF 防護
在UWAF配置中,根據實際業務部署的情況,配置正則規則,對 "class.module.*" 字串新增過濾規則,在部署過濾規則後,對業務執行情況進行測試,避免產生額外影響。
注意:其中流量特徵 "class.module.*" 對大小寫不敏感。
臨時修復措施
需同時按以下兩個步驟進行漏洞的臨時修復:
在應用中全域性搜尋@InitBinder 註解,看方法體內是否呼叫dataBinder.setDisallowedFields方法。如果發現此程式碼片段的引入,則在原來的黑名單中新增 { " class.module.*"}。注意:如果此程式碼片段使用較多,需要每個地方都追加。 在應用系統的專案包下新建以下全域性類,並保證這個類被Spring載入到(推薦在 Controller所在的包中新增)。完成類新增後,需對專案進行重新編譯打包和功能驗證測試,並重新發布專案。
import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;
@ControllerAdvice@Order(10000)
public class GlobalControllerAdvice{
@InitBinder
public void setAllowedFields(webdataBinder dataBinder){
String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};
dataBinder.setDisallowedFields(abd);
}
}
