Sonatype扫描显示Spring-Web易受攻击
Sonatype扫描显示Spring-Web易受攻击
提问于 2020-02-13 01:18:06
我的公司的Sonatype扫描显示Spring-Web即使是最新的版本(目前是5.2.3.RELEASE)也是脆弱的。它说“发现了严重程度为9.8的安全漏洞CVE-2016-1000027”。我注意到CVE-2016-1000027是在2020年2月1日被添加到国家漏洞数据库中的,它是关于"Spring Framework 4.1.4如果用于不可信数据的Java反序列化,会遭受潜在的远程代码执行(RCE)问题“。这是一张过时的工单,还是4年后仍未解决?
回答 1
Stack Overflow用户
发布于 2020-12-15 00:42:14
这个问题是从Spring Framework的角度解决的,see my latest comment summarizing the situation on that issue。只有在使用HTTPInvokerServiceExporter或RemoteInvocationSerializingExporter并从不受信任的来源读取数据时,您的应用程序才容易受到攻击。
反序列化来自不可信来源的Java代码是Java (所以,所有Java应用程序和框架!)中的一个众所周知的问题,这个特性可能会在未来的Java版本中删除。
考虑到这个安全问题的性质(除了删除类之外没有办法“修复它”,这将在Spring Framework的下一个主要版本中完成),联系您的供应商或您的安全团队是最好的行动方案。Spring团队很乐意在需要时提供更多关于该问题的上下文,从而帮助社区解决这一问题。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/60193808
复制相关文章
相似问题
腾讯云开发者
