責任鏈模式又稱職責鏈模式,屬於行為型模式;在責任鏈模式里,很多對象由每一個對象對其下家的引用而連接起來形成一條鏈。請求在這個鏈上傳遞,直到鏈上的某一個對象決定處理此請求。發出這個請求的客戶端並不指導鏈上的哪一個對象最終處理這個請求,這使得系統可以在不影響客戶端的情況下動態地重新組織鏈和分配責任。 責 ...
前幾天爆出來的 Spring 漏洞,剛修複完又來?
| 漏洞 | CVE-2022-22965 |
|---|---|
| 漏洞名稱 | 遠程代碼執行漏洞 |
| 嚴重級別 | 高危 |
| 影響範圍 | Spring Framework - 5.3.0 ~ 5.3.17 - 5.2.0 ~ 5.2.19 - 老版本及其他不受支持的版本 |
這次是高危,必須引起重視
用戶可以通過數據綁定的方式引發遠程代碼執行 (RCE) 攻擊漏洞,觸發的前提條件如下:
- JDK 9+
- Apache Tomcat(war 包部署形式)
- Spring MVC/ Spring WebFlux 應用程式
使用 Spring Boot 開發一般都是打成 jar 包,預設內嵌 Tomcat 形式,這對使用 Docker/ 微服務這種應用特別合適,但也可以切換為 war 包部署,但很少使用,但也不是沒有,比如說一般的傳統項目,為了相容老環境,或者運維統一維護 Tomcat 環境,可能也會使用 war 包部署。
所以,如果你使用的是預設的 Spring Boot 可執行 jar 包預設內嵌 Tomcat 部署,則不受影響,但由於這個漏洞的普遍性,可能還有其他方式進行利用。。難道這就是 Early Announcement 的含義?還來,真要搞瘋了!
如果你想關註和學習最新、最主流的 Java 技術,可以持續關註公眾號Java技術棧,公眾號第一時間推送。
解決方案
Spring 用戶升級到以下安全版本:
- Spring 5.3.18+
- Spring 5.2.20+
Spring Boot 用戶升級到以下安全版本:
- Spring Boot 2.6.6
- Spring Boot 2.5.12+
麻了麻了!又得升級??這 Spring Boot 2.6.5 剛發佈沒幾天。。。可能由於這個漏洞太過於高危,沒有辦法,必須升級主版本應對,以免用戶使用了帶了漏洞的版本。Spring Boot 2.6.6項目 fhadmin.cn
但是,如果不想升級框架主版本,也是可以的,畢竟很多應用不一定會相容 Spring Boot 最新版本,比較 Spring Cloud 或者其他依賴的底層框架。
Spring Boot 用戶可以使用以下方法臨時解決:
package car.app;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.web.servlet.WebMvcRegistrations;
import org.springframework.context.annotation.Bean;
import org.springframework.web.bind.ServletRequestDataBinder;
import org.springframework.web.context.request.NativeWebRequest;
import org.springframework.web.method.annotation.InitBinderDataBinderFactory;
import org.springframework.web.method.support.InvocableHandlerMethod;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter;
import org.springframework.web.servlet.mvc.method.annotation.ServletRequestDataBinderFactory;
/**
* 說明:MyApp
* 作者:FH Admin
* from:fhadmin.cn
*/
@SpringBootApplication
public class MyApp {
public static void main(String[] args) {
SpringApplication.run(CarApp.class, args);
}
@Bean
public WebMvcRegistrations mvcRegistrations() {
return new WebMvcRegistrations() {
@Override
public RequestMappingHandlerAdapter getRequestMappingHandlerAdapter() {
return new ExtendedRequestMappingHandlerAdapter();
}
};
}
private static class ExtendedRequestMappingHandlerAdapter extends RequestMappingHandlerAdapter {
@Override
protected InitBinderDataBinderFactory createDataBinderFactory(List<InvocableHandlerMethod> methods) {
return new ServletRequestDataBinderFactory(methods, getWebBindingInitializer()) {
@Override
protected ServletRequestDataBinder createBinderInstance(
Object target, String name, NativeWebRequest request) throws Exception {
ServletRequestDataBinder binder = super.createBinderInstance(target, name, request);
String[] fields = binder.getDisallowedFields();
List<String> fieldList = new ArrayList<>(fields != null ? Arrays.asList(fields) : Collections.emptyList());
fieldList.addAll(Arrays.asList("class.*", "Class.*", "*.class.*", "*.Class.*"));
binder.setDisallowedFields(fieldList.toArray(new String[] {}));
return binder;
}
};
}
}
}
總結
總結下這次受影響的用戶:
- JDK 9+
- Apache Tomcat(WAR 包部署形式)
- Spring MVC/ Spring WebFlux 應用程式
這次的大漏洞雖然是高危的,國內可能影響面有限。影響的關鍵還是JDK 9+ 的用戶,國外用 JDK 9+ 的比較多,JDK 11 和 JDK8 占據主要陣營,JDK 17+ 也在逐步發力替代 JDK 8。
據我瞭解,國內用 JDK 8 的比較多,JDK 9+ 應該只是少部分群體,如果你用的 JDK 8 及以下版本,那恭喜你,目前不受影響,否則儘快修複、升級保平安。
