前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >3月31日,Spring官方已证实漏洞存在并更新补丁包

3月31日,Spring官方已证实漏洞存在并更新补丁包

作者头像
4xx.me
发布2022-06-10 18:43:46
4160
发布2022-06-10 18:43:46
举报
文章被收录于专栏:For XX - 专注于技术本身

前边网传漏洞(Spring爆出安全漏洞?),时隔2天,官方发布了新版本用来修复此次的漏洞

官方博客原文:https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

漏洞信息

漏洞等级:High CVE编号:CVE-2022-22965 漏洞描述:Spring Framework 是一个开源应用框架,旨在降低应用程序开发的复杂度。在JDK9及以上版本环境中,一些新的版本特性,可以使攻击者绕过一些安全特性,借助某些中间件构造数据包修改敏感文件,达到远程代码执行目的。

漏洞影响

  1. JDK 9 或更高版本
  2. 应用程序作为 WAR 部署在 Tomcat 上运行
  3. Spring Framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 以及更早的版本
  4. 该漏洞涉及ClassLoader访问,因此除了针对 Tomcat 特定报告的特定攻击外ClassLoader,其他攻击也可能针对不同的 custom ClassLoader

解决方案

  1. 升级到安全版本
代码语言:javascript
复制
Spring Framework >= 5.3.18
Spring Framework >= 5.2.20
Spring Boot >= 2.5.12
Spring Boot >= 2.6.6
  1. 降级Java 8
  2. 开启WAF防护

任选1种方法即可解决

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2022-03-31,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 漏洞信息
  • 漏洞影响
  • 解决方案
相关产品与服务
消息队列 TDMQ
消息队列 TDMQ (Tencent Distributed Message Queue)是腾讯基于 Apache Pulsar 自研的一个云原生消息中间件系列,其中包含兼容Pulsar、RabbitMQ、RocketMQ 等协议的消息队列子产品,得益于其底层计算与存储分离的架构,TDMQ 具备良好的弹性伸缩以及故障恢复能力。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档