网传Spring爆出更大漏洞?别再炒作了…

Posted 黑马程序员官方

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网传Spring爆出更大漏洞?别再炒作了…相关的知识,希望对你有一定的参考价值。

之前刚刚过去的log4j2漏洞还历历在目,这次来了个更大的……

云舒老大在29日发微博称,出了个超级大漏洞。有吃瓜群众就问:“这个瓜有 log4j2 那么好吃吗?”

云舒大佬的回复是:“更大”。


之后,又有安全大佬sunwear给了一些更细节的信息:


所以漏洞影响范围,可以缩小到使用Java 9+和Spring的项目上了。

评论区很多网友感叹“它生任它生,我用 Java8”是永恒的真理!


​可以明确的是,Spring 这次漏洞和 Log4j2 那次相比,只能说是小巫见大巫,不一个重量级哈。

这次的 Spring 的漏洞也是再次提醒我们:“千万不要随意升级 JDK 版本啊”!

正在紧急修复?Spring核心开发者澄清:

从 Spring 项目的 Git 提交记录来看,在漏洞消息疯传的同时, Spring 开发者似乎在紧急处理漏洞相关的代码,比如 3 月 29日的新提交:弃用 SerializationUtils#deserialize 。

在这个敏感的时间点,该提交引了一些紧张情绪,很多用户在该提交下面留言,询问该提交的代码改动是否与网传的 0day RCE 漏洞相关?而 Spring 核心开发者之一 sbrannen 对此作出澄清:

谨防被骗,炒作!

如果确实存在,那么这个 Spring 框架 RCE 漏洞的影响将远超此前的 Log4j 或 Heartbleed ,但已经过去了一整天,也没有看到谁能真正复现此漏洞。

目前为数不多的详细 PoC 还是故意先按 Spring 文档明确反对的用法引入易受攻击的代码,再进行漏洞攻击 …而据郑州网络安全协会报道,甚至还有人打着 Poc 的幌子钓鱼…

截至发稿时间,Spring 团队没有对该漏洞发表任何官方公告。

官方博客的最新漏洞公告是 CVE-2022-22963:Spring 表达式资源访问漏洞 和 CVE-2022-22950:Spring 表达式 DoS 漏洞 ,但这两个漏洞的严重程度都是中等,无法与网传 Spring 核心框架的 RCE 高危程度相比。

你用的是Java的什么版本呢?欢迎大家一起聊聊。

参考:https://weibo.com/ttarticle/p/show?id=2309404753083396653175

以上是关于网传Spring爆出更大漏洞?别再炒作了…的主要内容,如果未能解决你的问题,请参考以下文章

网传的Spring大漏洞

Spring官宣网传大漏洞,并提供解决方案

Spring官宣网传大漏洞,并提供解决方案

Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)

Spring 漏洞及其修复方案

Spring Framework RCE CVE-2022-22965漏洞学习