老版本的Spring应用该如何应对这次的RCE漏洞？

昨天，在发布了《Spring官宣承认网传大漏洞，并提供解决方案》之后。

群里(点击加群)就有几个小伙伴问了这样的问题：我们的Spring版本比较老，该怎么办？这是一个好问题，所以DD今天单独拿出来说说。

这次的RCE漏洞宣布之后，官方给出的主要解决方案是升级版本，但只有Spring 5.2、5.3和Spring Boot 2.5、2.6提供了对应的升级版本。

那么对于一些还在用Spring 5.0、5.1甚至Spring 4.x、或者Spring Boot 1.x和Spring 2.4及以下版本的用户该怎么办呢？

第一种方法

官方给出过一种通过扩展RequestMappingHandlerAdapter来实现的方法。同时也给出了一个Spring Boot下使用Spring MVC的实现方案，如果是WebFlux的话略做修改即可。但如果不是Spring Boot的话，则Bean的初始化方式还要再改改。

@SpringBootApplication
public class MyApp {

 public static void main(String[] args) {
  SpringApplication.run(CarApp.class, args);
 }


 @Bean
 public WebMvcRegistrations mvcRegistrations() {
  return new WebMvcRegistrations() {
   @Override
   public RequestMappingHandlerAdapter getRequestMappingHandlerAdapter() {
    return new ExtendedRequestMappingHandlerAdapter();
   }
  };
 }


 private static class ExtendedRequestMappingHandlerAdapter extends RequestMappingHandlerAdapter {

  @Override
  protected InitBinderDataBinderFactory createDataBinderFactory(List<InvocableHandlerMethod> methods) {

   return new ServletRequestDataBinderFactory(methods, getWebBindingInitializer()) {

    @Override
    protected ServletRequestDataBinder createBinderInstance(
      Object target, String name, NativeWebRequest request) throws Exception {
     
     ServletRequestDataBinder binder = super.createBinderInstance(target, name, request);
     String[] fields = binder.getDisallowedFields();
     List<String> fieldList = new ArrayList<>(fields != null ? Arrays.asList(fields) : Collections.emptyList());
     fieldList.addAll(Arrays.asList("class.*", "Class.*", "*.class.*", "*.Class.*"));
     binder.setDisallowedFields(fieldList.toArray(new String[] {}));
     return binder;
    }
   };
  }
 }
}

这种需要我们去修改代码，其实我觉得还是有点麻烦的。如果对Spring机制不太熟悉的话，可能还会遇到不少麻烦。下面讲讲另外的几种方法。

第二种方法

下面要讲的方法主要是规避的思路。什么是规避呢？就是针对该漏洞的利用条件去做一些调整。

比如，这次漏洞的条件是这些：

• JDK 9 +
• 使用Apache Tomcat部署
• 使用WAR方式打包
• 依赖spring-webmvc或spring-webflux

那么我们就可以选择规避其中的1个条件来防止漏洞被利用，比如：

• 降级到JDK 8
• 使用Undertow部署
• Spring Boot的话，还能调整打包方式，采用JAR来规避

另外，DD还注意到，这次漏洞公布之后，Tomcat的版本也更新了，所以当你用WAR部署的情况下，可以直接下载最新的Tomcat版本来规避也是一种不错的选择。

当然了，有条件跟进新版本的还是要采用更新版本的方式哦。

好了，今天的分享就到这里，解决群友的疑问是一方面，另一方面也是给大家讲讲解决问题时候的一种思考方式。有时候碰到硬茬，我们不一定要硬刚，换个方向解决可能性价比更高。原创不易，如果您觉得今天的分享那个还不错，欢迎点赞、在看、分享到朋友圈。

我们创建了一个高质量的技术交流群，与优秀的人在一起，自己也会优秀起来，赶紧点击加群，享受一起成长的快乐。另外，如果你最近想跳槽的话，年前我花了2周时间收集了一波大厂面经，节后准备跳槽的可以点击这里领取！

推荐阅读

• 疫情之下，这些公司开始给员工发菜了！
• 神作《凤凰架构：构建可靠的大型分布式系统》电子版来了！
• SQL优化万能公式：5 大步骤 + 10 个案例

··································

你好，我是程序猿DD，10年开发老司机、阿里云MVP、腾讯云TVP、出过书、创过业、国企4年互联网6年。10年前毕业加入宇宙行，工资不高、也不算太忙，业余坚持研究技术和做自己想做的东西。4年后离开国企，加入永辉互联网板块的创业团队，从开发、到架构、到合伙人。一路过来，给我最深的感受就是一定要不断学习并关注前沿。只要你能坚持下来，多思考、少抱怨、勤动手，就很容易实现弯道超车！所以，不要问我现在干什么是否来得及。如果你看好一个事情，一定是坚持了才能看到希望，而不是看到希望才去坚持。相信我，只要坚持下来，你一定比现在更好！如果你还没什么方向，可以先关注我，这里会经常分享一些前沿资讯，帮你积累弯道超车的资本。

点击阅读原文，送你免费Spring Boot教程