網傳的Spring大漏洞

昨天凌晨發了篇關於Spring大漏洞的推文，白天就有不少小伙伴問文章怎麼刪了。

主要是因為收到朋友提醒說可能發這個會違規（原因可參考：阿裡雲因發現Log4j2核彈級漏洞但未及時上報，被工信部處罰），所以就刪除了。

經過一天的時間，似乎這個事情變得有點看不懂了。所以下麵聊聊這個網傳的Spring大漏洞吧。

這個漏洞話題的起點源自3月29日晚，DD在群里（點擊加群）看到網友分享了幾位安全大佬爆料Java生態出現了超級大漏洞。

但兩位大佬都沒有透露這次漏洞更詳細的信息。只有網友問了一句：“有log4j那麼大嗎？”。雲舒大佬的回覆是：“更大”。

之後，又有安全大佬sunwear（就之前那個因為上海銀行工作人員服務態度差，而直接怒取500萬現金的大佬，具體什麼故事如果你不知道可以百度一下，這裡DD就不細說了）給了一些更細節的信息：

所以漏洞影響範圍，可以縮小到使用Java 9+和Spring的項目上了。

此時就有網友開始結合之前log4j漏洞的信息開始調侃了：

其實到這裡，不少小伙們其實已經鬆了一口氣了，因為國內大部分地方還是在用Java 8。這點DD深有體會，因為每次發佈Java新版本資訊的時候，一直都有小伙伴反饋，不會升級，版本任你發，我用Java 8。

反正也睡不著，DD想著繼續搜搜相關信息吧。然後DD發現了Spring官方最近有這樣一個提交：

從提交信息來看，是解決某個RCE漏洞問題的。所以，大概很可能就是這個了吧？感興趣的小伙伴，可以通過下麵的鏈接查看具體信息。

https://github.com/spring-projects/spring-framework/commit/7f7fb58dd0dae86d22268a4b59ac7c72a6c22529

之後有看到一些專業的網路安全類渠道發佈了一下修複方法。但沒多久，不少號的內容被和諧了，不清楚具體原因是什麼。

再之後就是3月30日白天了，接著各種營銷號開始炒作這個問題了，比較扯淡的有兩類：一類是張冠李戴，拿過去的一些漏洞說是這次的大漏洞，因為標題夠唬人，所以很多人關註了，然後也在群里討論。比如又一些說是Spring Cloud Gateway的，其實都是3月1日就已經公佈的漏洞。也有一些說是最近那兩個的，但仔細看看，你會發現似乎搭不上邊，而且漏洞級別都不高。

還有一類是釣魚的，由於號稱漏洞很大，所以放了一些非正式的修複包，實際是惡意代碼，來引誘大家使用。

所以這裡DD提醒大家一句，當碰到安全問題的時候，一定一定要去看官方信息，而不是隨便搜一篇文章就開幹了。包括DD這邊分享出來的內容，一定也都會放出官方信息的連接，供大家去核實與處理。

再回到這次網傳的漏洞信息，其實從29日晚開始，大家就都在關註Spring官方的信息。然而白天等到的是這篇博文：

這裡指出的CVE-2022-22963與網傳的漏洞信息大相徑庭，並且級別也並不像之前大佬稱的堪比log4j的漏洞。

所以，再去追溯了一下之前提到的那個關於RCE的PR。可以看到這裡的內容有了一些更新：

有網友問：什麼時候report CVE？

@ledoyen 回覆：這個本身並不是一個CVE。使用此工具處理用戶輸入數據可能會導致CVE，但在內部像CacheResultInterceptor那樣使用它的時候，不會導致CVE。

@sbrannen 最後也給出了結論：這不是Spring核心框架中的CVE。此更改的目的是通知以前使用SerializationUtils反序列化的人，對來自不可信來源對象進行反序列化時候是危險的。而Spring核心框架不使用SerializationUtils來反序列化來自不可信來源的對象。如果您認為您發現了安全問題，請通過專門的頁面來報告：https://spring.io/security-policy。

所以，這個看似解決網傳大漏洞的PR並不是一回事？回頭再去看了一下爆料該漏洞的雲舒大佬的微博，之前發的那條已經不存在了。那麼這個所謂的大漏洞去哪裡了呢？DD也猜不出來了，也不瞎猜了，畢竟安全漏洞是個很嚴肅的事。

總結

最後，因為這個漏洞的問題，群里（點擊加群）一直有小伙伴問起，所以，按目前DD的認識，給大家總結一些註意點：

1. Spring官方報告出來的漏洞沒那麼嚴重，根據報告給的升級版本就可以解決。
2. Spring官方報告出來的漏洞可能與網傳的大漏洞無關
3. 現存的一些營銷號文章中存在風險下載物，大家要註意
4. 保持關註，如果有進一步消息，DD這邊會繼續給大家同步和解析

如果您正在學習Spring全家桶或關註Spring相關的前沿信息，歡迎關註我的公眾號程式猿DD，或者我的個人博客，長期分享關於Spring一切的乾貨內容。

歡迎關註我的公眾號：程式猿DD。第一時間瞭解前沿行業消息、分享深度技術乾貨、獲取優質學習資源