spring Sping Boot 严重漏洞

nukf8bse  于 2022-12-21  发布在  Spring
关注(0)|答案(1)|浏览(2459)

我正在对我的项目运行漏洞检查,发现Spring在spring-core-5.3.21.jar包上存在漏洞:

>     <parent>
>         <groupId>org.springframework.boot</groupId>
>         <artifactId>spring-boot-starter-parent</artifactId>
>         <version>2.7.1</version>
>     </parent>

如果我检查https://mvnrepository.com/artifact/org.springframework/spring-core上的maven repo,它是最新版本,没有显示任何漏洞。
我不能在项目上有已知的漏洞。如何删除此CVE?

nue99wik

nue99wik1#

    • 简介**这是Spring-web项目中的一个严重漏洞CVE-2016 - 1000027 Spring Framework Javadoc将HttpInvokerServiceExporter描述为"基于Servlet API的HTTP请求处理程序,它将指定的服务bean导出为HTTP调用程序服务端点,可通过HTTP调用程序代理访问。"这实质上意味着客户机可以执行由服务器应用程序的创建者所展示的特定方法。
    • 来自CVE的描述**Pivotal Spring Framework 4.1.4如果用于不受信任数据的Java反序列化,则会遇到潜在的远程代码执行(RCE)问题。根据产品中库的实现方式,可能会发生或不发生此问题,并且可能需要身份验证。
    • 说明**

org. springframework:spring-web包容易受到反序列化不可信数据的攻击,从而导致远程代码执行(RCE)。HttpInvokerServiceExporter.class中的readRemoteInvocation方法在反序列化不可信对象之前,无法正确验证或限制这些对象。攻击者可以通过发送包含精心编制的对象的恶意请求来利用此漏洞进行攻击,这些对象在反序列化时,会在有漏洞的系统上执行任意代码。

    • 结论**:检查项目是否正在使用HttpInvokerServiceExport执行java反序列化。如果是:尝试从你的项目中消除org.springframework.remoting的使用如果没有:您可以与您的安全团队讨论,确定您的项目不容易受到此漏洞的影响,并保持原样。

我使用fasterxml的jackson来做反序列化,而不是java反序列化,这使得我的项目不容易出现这个漏洞。

相关问题