網傳的Spring大漏洞

来源:https://www.cnblogs.com/didispace/archive/2022/03/31/16080168.html
-Advertisement-
Play Games

昨天凌晨發了篇關於Spring大漏洞的推文,白天就有不少小伙伴問文章怎麼刪了。 主要是因為收到朋友提醒說可能發這個會違規(原因可參考:阿裡雲因發現Log4j2核彈級漏洞但未及時上報,被工信部處罰),所以就刪除了。 經過一天的時間,似乎這個事情變得有點看不懂了。所以下麵聊聊這個網傳的Spring大漏洞 ...


昨天凌晨發了篇關於Spring大漏洞的推文,白天就有不少小伙伴問文章怎麼刪了。

主要是因為收到朋友提醒說可能發這個會違規(原因可參考:阿裡雲因發現Log4j2核彈級漏洞但未及時上報,被工信部處罰),所以就刪除了。

經過一天的時間,似乎這個事情變得有點看不懂了。所以下麵聊聊這個網傳的Spring大漏洞吧。

這個漏洞話題的起點源自3月29日晚,DD在群里(點擊加群)看到網友分享了幾位安全大佬爆料Java生態出現了超級大漏洞。

但兩位大佬都沒有透露這次漏洞更詳細的信息。只有網友問了一句:“有log4j那麼大嗎?”。雲舒大佬的回覆是:“更大”。

之後,又有安全大佬sunwear(就之前那個因為上海銀行工作人員服務態度差,而直接怒取500萬現金的大佬,具體什麼故事如果你不知道可以百度一下,這裡DD就不細說了)給了一些更細節的信息:

所以漏洞影響範圍,可以縮小到使用Java 9+和Spring的項目上了。

此時就有網友開始結合之前log4j漏洞的信息開始調侃了:

其實到這裡,不少小伙們其實已經鬆了一口氣了,因為國內大部分地方還是在用Java 8。這點DD深有體會,因為每次發佈Java新版本資訊的時候,一直都有小伙伴反饋,不會升級,版本任你發,我用Java 8。

反正也睡不著,DD想著繼續搜搜相關信息吧。然後DD發現了Spring官方最近有這樣一個提交:

從提交信息來看,是解決某個RCE漏洞問題的。所以,大概很可能就是這個了吧?感興趣的小伙伴,可以通過下麵的鏈接查看具體信息。

https://github.com/spring-projects/spring-framework/commit/7f7fb58dd0dae86d22268a4b59ac7c72a6c22529

之後有看到一些專業的網路安全類渠道發佈了一下修複方法。但沒多久,不少號的內容被和諧了,不清楚具體原因是什麼。

再之後就是3月30日白天了,接著各種營銷號開始炒作這個問題了,比較扯淡的有兩類:一類是張冠李戴,拿過去的一些漏洞說是這次的大漏洞,因為標題夠唬人,所以很多人關註了,然後也在群里討論。比如又一些說是Spring Cloud Gateway的,其實都是3月1日就已經公佈的漏洞。也有一些說是最近那兩個的,但仔細看看,你會發現似乎搭不上邊,而且漏洞級別都不高。

還有一類是釣魚的,由於號稱漏洞很大,所以放了一些非正式的修複包,實際是惡意代碼,來引誘大家使用。

所以這裡DD提醒大家一句,當碰到安全問題的時候,一定一定要去看官方信息,而不是隨便搜一篇文章就開幹了。包括DD這邊分享出來的內容,一定也都會放出官方信息的連接,供大家去核實與處理。

再回到這次網傳的漏洞信息,其實從29日晚開始,大家就都在關註Spring官方的信息。然而白天等到的是這篇博文:

這裡指出的CVE-2022-22963與網傳的漏洞信息大相徑庭,並且級別也並不像之前大佬稱的堪比log4j的漏洞。

所以,再去追溯了一下之前提到的那個關於RCE的PR。可以看到這裡的內容有了一些更新:

有網友問:什麼時候report CVE?

@ledoyen 回覆:這個本身並不是一個CVE。使用此工具處理用戶輸入數據可能會導致CVE,但在內部像CacheResultInterceptor那樣使用它的時候,不會導致CVE。

@sbrannen 最後也給出了結論:這不是Spring核心框架中的CVE。此更改的目的是通知以前使用SerializationUtils反序列化的人,對來自不可信來源對象進行反序列化時候是危險的。而Spring核心框架不使用SerializationUtils來反序列化來自不可信來源的對象。如果您認為您發現了安全問題,請通過專門的頁面來報告:https://spring.io/security-policy。

所以,這個看似解決網傳大漏洞的PR並不是一回事?回頭再去看了一下爆料該漏洞的雲舒大佬的微博,之前發的那條已經不存在了。那麼這個所謂的大漏洞去哪裡了呢?DD也猜不出來了,也不瞎猜了,畢竟安全漏洞是個很嚴肅的事。

總結

最後,因為這個漏洞的問題,群里(點擊加群)一直有小伙伴問起,所以,按目前DD的認識,給大家總結一些註意點:

  1. Spring官方報告出來的漏洞沒那麼嚴重,根據報告給的升級版本就可以解決。
  2. Spring官方報告出來的漏洞可能與網傳的大漏洞無關
  3. 現存的一些營銷號文章中存在風險下載物,大家要註意
  4. 保持關註,如果有進一步消息,DD這邊會繼續給大家同步和解析

如果您正在學習Spring全家桶或關註Spring相關的前沿信息,歡迎關註我的公眾號程式猿DD,或者我的個人博客,長期分享關於Spring一切的乾貨內容。

歡迎關註我的公眾號:程式猿DD。第一時間瞭解前沿行業消息、分享深度技術乾貨、獲取優質學習資源


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 一、前言 眾所周知,Python 不是一種執行效率較高的語言。此外在任何語言中,迴圈都是一種非常消耗時間的操作。假如任意一種簡單的單步操作耗費的時間為 1 個單位,將此操作重覆執行上萬次,最終耗費的時間也將增長上萬倍。 while 和 for 是 Python 中常用的兩種實現迴圈的關鍵字,它們的運 ...
  • 前言 本片博客記錄快速創建springboot工程的兩種方式。一種是使用maven創建,一種是使用spring initializr創建。開發環境JDK1.8、IDEA、maven。 SpringBoot 優點 可快速構建spring應用 直接嵌入tomcat、jetty、undenrtow伺服器( ...
  • 大家好,我是棧長。 相信大家看到了昨天的 Spring 漏洞,嚴重級別僅為中等,不必慌張, 棧長沒想到的是,自這個月初 Spring Cloud Gateway 突發高危漏洞,現在 Spring Cloud 另外一個 Spring Cloud Function 模塊也淪陷了。。。 來看最新昨天 Sp ...
  • springboot微服務整合swagger3方法很簡單,下文會演示。但是在分散式項目中如果每個微服務都需要單獨的分開訪問獲取介面文檔就不方便了,本文將詳細講解springcloud gateway網關如何聚合統一管理swagger介面文檔。 先貼張整合後的效果圖(通過切換左上角的下拉視窗獲取每個微 ...
  • 如何才能寫好Python代碼?很多小伙伴都會問這樣的問題,今天這篇就來告訴大家怎樣寫好Python代碼。 程式設計的好與壞,早在我們青蔥歲月時就接觸過了,只是那是並不知道這竟如此重要。能夠立即改善程式設計、寫出“好”代碼的知識有以下幾點: •面向對象五個基本原則; •常見的三種架構; •繪圖; •起 ...
  • 大家好,我是棧長。 最近技術棧真是醉了,Log4j2 的核彈級漏洞剛告一段落,這個月初 Spring Cloud Gateway 又突發高危漏洞,現在連最要命的 Spring 框架也淪陷了。。。 棧長今天看到了一些安全機構發佈的相關漏洞通告,Spring 官方博客也發佈了漏洞聲明: 漏洞描述: 用戶 ...
  • 前言: 請各大網友尊重本人原創知識分享,謹記本人博客:南國以南i 上篇我們介紹到 保姆教程系列二、Nacos實現註冊中心 配置中心原理 一、 服務配置中心介紹 首先我們來看一下,微服務架構下關於配置文件的一些問題: 配置文件相對分散。在一個微服務架構下,配置文件會隨著微服務的增多變的越來越多,而且分 ...
  • Python之所以能夠成為流行的數據分析語言,有一部分原因在於其簡潔易用的字元串處理能力。 Python的字元串對象封裝了很多開箱即用的內置方法,處理單個字元串時十分方便;對於Excel、csv等表格文件中整列的批量字元串操作,pandas庫也提供了簡潔高效的處理函數,幾乎與內置字元串函數一一對應。 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...