1、免责声明
本文提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途。
2、内容速览
3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。
相关监测发现该漏洞可能已被远程攻击者利用,广东省网络安全应急响应中心连夜发布预警通知,考虑到Spring框架的广泛应用,对漏洞评级为:危险。
目前已知,触发该漏洞需要满足两个基本条件:
使用JDK9及以上版本的Spring MVC框架 Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class 漏洞影响范围:
JDK9 <= Spring Cloud Function
执行“java-version”命令可查看JDK版本
⑴解压war包:将war文件的后缀修改成.zip ,解压zip文件 ⑵在解压缩目录下搜索是否存在 spring-beans-.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了spring框架进行开发。(3)如果spring-beans-.jar 文件不存在,则在解压缩目录下搜索CachedIntrospectionResuLts.class 文件是否存在,如存在则说明业务系统使用了Spring框架开发。
⑴解压jar包:将jar文件的后缀修改成.zip,解压zip文件。⑵在解压缩目录下搜索是否存在spring-beans-.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了spring框架进行开发。⑶如果spring-beans-.jar 文件不存在,则在解压缩目录下搜索CachedIntrospectionResuLts.class 文件是否存在,如存在则说明业务系统使用了spring框架进行开发。
在完成以上两个步骤排查后,同时满足以下两个条件可确定受此漏洞影响:
⑴JDK版本号在9及以上的;
⑵使用了spring框架或衍生框架。
目前Spring官方并没有发布与此漏洞相关的补丁文件,建议采用以下二个临时方案进行防护,并密切关注Spring官方的补丁发布情况,及时修复该漏洞。
在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对
“class.*”,“Class.*”,“*.class.*”,“*.Class.*”
等字符串的规则过滤,并在部署过滤规则后,对业务允许情况进行测试,避免产生额外影响。
需同时按以下两个步骤进行漏涧的临时修复:
1.在应用中全局搜索@InitBinder注解,看看方法体内是否调用dataBinder.setDisallowedFields方法,如果发现此代码片段的引入,则在原来的黑名单中,添加{“class.","Class. <em>“,”. class.</em>”, “.Class.”}。(注:如果此代码片段使用较多,需要每个地方都追加)
2.在应用系统的项目包下新建以下全局类,并保证这个类被Spring
加载到(推荐在Controller 所在的包中添加).完成类添加后,需对项目进行重新编译打包和功能验证测试,并重新发布项目。
import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;
@ControllerAdvice
@Order(10000)
public class GlobalControllerAdvice{<!-- -->
@InitBinder
public void setAllowedFields(webdataBinder dataBinder){<!-- -->
String[]abd=new string[]{<!-- -->"class.*","Class.*","*.class.*","*.Class.*"};
dataBinder.setDisallowedFields(abd);
}