Spring Framework遠程代碼執行漏洞
-
發布時間 2022-03-31
-
漏洞等級 High
-
CVE編號 CVE-2022-22965
-
影響范圍:同時滿足以下三個條件可確定受此漏洞影響:
JDK 版本 >= 9
使用了 Spring 框架或衍生框架
項目中 Controller 參數接收實體類對象並存在代碼調用
1.漏洞描述
Spring Framework 是一個開源應用框架,旨在降低應用程序開發的復雜度。它是輕量級、松散耦合的。它具有分層體系結構,允許用戶選擇組件,同時還為 J2EE 應用程序開發提供了一個有凝聚力的框架。但是在JDK9及以上版本環境中,一些新的版本特性,可以使攻擊者繞過一些安全特性,借助某些中間件構造數據包修改敏感文件,達到遠程代碼執行目的。
2.漏洞影響排查方法
2.1.JDK 版本號排查
在業務系統的運行服務器上,執行“java -version"命令查看運行的 JDK 版本。
如果版本號小於等於 8,則不受此漏洞影響。
(不受影響的版本)👇
2.2.Spring 框架使用情況排査
如果業務系統項目以 war(jar) 包形式部署,按照如下的步驟進行判斷:
-
解壓 war(jar) 包:將war(jar)文件的后綴修改成 .zip ,解壓 zip 文件。 -
在解壓縮目錄下搜索是否存在 spring-beans-*.jar 格式的文件(例如spring-beans-5.3.16.jar),如存在則說明業務系統使用了Spring框架進行開發。 -
如果spring-beans-*.jar文件不存在,則在解壓縮目錄下搜索CachedlntrospectionResults.class文件是否存在,如存在則說明業務系統使用了Spring框架進行開發。
3.解決方案
3.1.版本升級
目前,Spring官方已發布漏洞修復版本,請用戶及時更新至最新版本:
https://github.com/spring-projects/spring-framework/tags
安全版本:
Spring Framework == 5.3.18
Spring Framework == 5.2.20
3.2.緩解措施
無法升級版本的用戶,建議采用以下兩個臨時方案進行防護。
UWAF 防護
在UWAF配置中,根據實際業務部署的情況,配置正則規則,對 "class.module.*" 字符串添加過濾規則,在部署過濾規則后,對業務運行情況進行測試,避免產生額外影響。
注意:其中流量特征 "class.module.*" 對大小寫不敏感。
臨時修復措施
需同時按以下兩個步驟進行漏洞的臨時修復:
-
在應用中全局搜索 @InitBinder 注解,看方法體內是否調用dataBinder.setDisallowedFields方法。如果發現此代碼片段的引入,則在原來的黑名單中添加 { " class.module.*"}。注意:如果此代碼片段使用較多,需要每個地方都追加。 -
在應用系統的項目包下新建以下全局類,並保證這個類被Spring加載到(推薦在 Controller所在的包中添加)。完成類添加后,需對項目進行重新編譯打包和功能驗證測試,並重新發布項目。
import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;
@ControllerAdvice@Order(10000)
public class GlobalControllerAdvice{
@InitBinder
public void setAllowedFields(webdataBinder dataBinder){
String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};
dataBinder.setDisallowedFields(abd);
}
}
