自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Log4j 未平,Spring高危漏洞又起!

作者:安全牛
安全 漏洞
目前,spring官方尚未正式發(fā)布漏洞補丁,安全專家建議采用以下二個臨時方案進行防護,并及時關注官方補丁發(fā)布情況。

Spring是Java EE編程領域的一個熱門開源框架,該框架在2002年創(chuàng)建,是為了解決企業(yè)級編程開發(fā)中的復雜性,業(yè)務邏輯層和其他各層的松耦合問題,因此它將面向接口的編程思想貫穿整個系統(tǒng)應用,實現(xiàn)敏捷開發(fā)的應用型框架。目前,Spring 框架已被包括科技巨頭公司在內(nèi)的大量企業(yè)廣泛采用,還包括一些“無服務器”(serverless)服務提供商。

據(jù)外媒消息,Spring官方日前在github上更新了一條可能導致命令執(zhí)行漏洞的修復代碼,該漏洞目前在互聯(lián)網(wǎng)中已被成功驗證。研究機構將該漏洞評價為高危級。對于應用JDK版本號為9及以上的企業(yè),建議盡快開展Spring框架使用情況的排查與漏洞處置工作。

漏洞排查

(1) 如果業(yè)務系統(tǒng)項目以war包形式部署,按照如下步驟進行判斷:

  • 解壓war包:將war文件的后綴修改成.zip ,解壓zip文件。
  • 在解壓縮目錄下搜索是否存在 spring-beans-*.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在則說明業(yè)務系統(tǒng)使用了spring框架進行開發(fā)。
  • 如果spring-beans-*.jar 文件不存在,則在解壓縮目錄下搜索CachedIntrospectionResuLts.class 文件是否存在,如存在則說明業(yè)務系統(tǒng)使用了Spring框架開發(fā)。

(2) 如果業(yè)務系統(tǒng)項目以jar包形式直接獨立運行,按照如下步驟進行判斷:

  • 解壓jar包:將jar文件的后綴修改成.zip,解壓zip文件。
  • 在解壓縮目錄下搜索是否存在spring-beans-*.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在則說明業(yè)務系統(tǒng)使用了spring框架進行開發(fā)。
  • 如果spring-beans-*.jar 文件不存在,則在解壓縮目錄下搜索CachedIntrospectionResuLts.class 文件是否存在,如存在則說明業(yè)務系統(tǒng)使用了spring框架進行開發(fā)。

漏洞修復

目前,spring官方尚未正式發(fā)布漏洞補丁,安全專家建議采用以下二個臨時方案進行防護,并及時關注官方補丁發(fā)布情況。

(1) WAF防護

在WAF等網(wǎng)絡防護設備上,根據(jù)實際部署業(yè)務的流量情況,實現(xiàn)對“class.*”“Class.*”“*.class.*”“*.Class.*”等字符串的規(guī)則過濾,并在部暑過濾規(guī)則后,對業(yè)務運行情況進行測試,避免產(chǎn)生額外影響。

(2) 臨時修復措施

需同時按以下兩個步驟進行漏澗的臨時修復:

  • 在應用中全局搜索@InitBinder注解,看看方法體內(nèi)是否調(diào)用dataBinder.setDisallowedFields方法,如果發(fā)現(xiàn)此代碼片段的引入,則在原來的黑名單中,添加{"class.*","Class. *","*. class.*", "*.Class.*"}。
  • 在應用系統(tǒng)的項目包下新建以下全局類,并保證這個類被Spring 加載到(推薦在Controller 所在的包中添加).完成類添加后,需對項目進行重新編譯打包和功能驗證測試。并重新發(fā)布項目。
 import org.springframework.core.annotation.Order;

        import org.springframework.web.bind.WebDataBinder;

        import org.springframework.web.bind.annotation.ControllerAdvice;

        import org.springframework.web.bind.annotation.InitBinder;

        @ControllerAdvice

        @Order(10000)

        public class GlobalControllerAdvice{ 

             @InitBinder

             public void setAllowedFields(webdataBinder dataBinder){

             String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};

             dataBinder.setDisallowedFields(abd);

             }

        }
責任編輯:趙寧寧 來源: 安全牛
漏洞補丁Spring
相關推薦

2021-12-26 00:13:24

Log4jLogback漏洞

2022-01-24 10:02:53

漏洞微軟網(wǎng)絡攻擊

2022-03-25 13:42:15

Log4j漏洞網(wǎng)絡安全

2021-12-23 09:47:36

Log4jRCE漏洞DoS漏洞

2021-12-10 16:12:54

Apache Log4啟明星辰

2021-12-14 23:44:26

漏洞Log4j項目

2021-12-13 01:49:34

漏洞Log4j代碼

2021-12-23 11:03:25

Log4j 漏洞漏洞

2021-12-24 09:52:31

Traefik Log4J 漏洞

2023-11-10 10:08:23

2022-01-06 09:52:39

Log4j漏洞攻擊

2021-12-11 19:04:38

漏洞

2022-01-02 07:07:55

CISAApache Log4漏洞

2013-05-21 10:58:43

Log4jActiveMQSpring

2021-12-12 22:11:08

openEuler操作系統(tǒng)Log4j

2021-12-15 18:07:38

Log4j漏洞網(wǎng)絡攻擊

2022-02-15 17:51:38

Log4j漏洞網(wǎng)絡安全

2022-02-13 16:18:57

JetBrainsIntelliJLog4j

2021-12-22 16:53:31

Log4jLog4j庫零日漏洞

2021-12-16 12:27:15

Log4j漏洞網(wǎng)絡安全
點贊
收藏

51CTO技術棧公眾號