JDK9使用spring框架发现漏洞,官方对此有何回应?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了JDK9使用spring框架发现漏洞,官方对此有何回应?相关的知识,希望对你有一定的参考价值。

官方目前并没有对此次回应,应该是还没找好修复的方法,不然早就回复了。不过官方目前回不回复也没关系,因为大部分公司使用的JDK版本还是处于JDK8。所以这个漏洞对于大部分厂商来说并不是什么问题,官方可以有足够的时间去修复。

其实这种问题官方第一时间回复也没什么用,因为这不是道歉就可以解决的,而且在IT圈,也没有说出现了这种Bug就要出来道歉的,因为出现这种Bug是常理之中。而且这次出现Bug的还是JDK9版本,这个版本虽然也不算是新版本,但大多数公司的程度架构都没有使用JDK9版本,因为目前最稳定的JDK版本是JDK8,对于公司来说,稳定大于一切。所以官方可能也是因为这个原因,没有第一时间出来回复,但都不用害怕,官方肯定会对此漏洞进行修复的,而且修复这种漏洞的时间也不需要多久。

官方虽然没有对此有回应,但也不需要官方回应才能解决问题。这次的Bug又是注入问题。虽然大部分公司的架构没有采用JDK9版本,但有部分公司可能采用了JDK9。出现这种问题,也不一定要等着官方的回应和补丁,可以自己先自行处理,因为这个漏洞虽然说是高危,但和SQL注入差不多。都是可以自行处理的。像SQL,使用预处理方式就完美的解决了这个问题。当然, 如果有官方的修复补丁是更好的,但短时间内是不可能的。

官方目前对此还没有回应,不过也正常,因为我们的时区不相同,别人那边可能还在休息。当然,官方的回应大概也是叫你等待补丁,或者给你推荐另外一个解决方案。

参考技术A 官方表示已经知道了这件事会加大检查力度加大监管力度,如果这个问题确实存在的话,会撤回这批有问题的产品,发布新的产品并且会进行相应的补偿。 参考技术B 目前官方没有明确的回应,只知道这些漏洞,目前是没有办法被修复的,也要让用户提高警惕。 参考技术C 官方对此回应说 Spring 框架确实存在一些漏洞,而且受影响版本覆盖了很多,但他们会尽快解决。

Spring Framework RCE CVE-2022-22965漏洞学习

一、概述

3月底Spring Framework爆出严重级别的安全漏洞,该漏洞允许黑客进行任意命令执行。在3月31日Spring Framework官方发布了5.3.18以及5.2.20修复了该漏洞,随后该漏洞编号为CVE-2022-22965,这个漏洞也是先发布修复版本,后分配CVE编号的。从官网可知该漏洞存在的条件:

  • 使用JDK9及以上版本
  • 使用Apache Tomcat作为容器
  • 使用了传统的WAR包部署方式
  • 依赖了spring-wemvc以及springwebflux
  • Spring Framework版本为5.3.0到5.3.17,5.2.0到5.2.19以及其他老版本

这些条件需要同时满足,漏洞才会存在。

目前网上已经很多的文章进行漏洞分析,并且已经存在大量的POC/EXP,这篇文章就主要讲一下如何搭建漏洞环境进行漏洞验证。

声明:文章仅用于记录漏洞的学习过程,严禁用于任何非法行为,一切恶意破坏行为与本人无关。

二、环境准备

1、 编码工具,我使用的是IDEA;

2、 springframework:5.3.17,以及spring-beans

3、 JDK:电脑安装了JDK8、JDK9、JDK10、JDK17不同的版本

4、 TOMCAT:我准备了8.0.47、9.0.60、10.0.8

5、 操作系统:windows 10、linux CentOS Linux release

7.4.1708 (Core)

不知道是我的电脑环境有问题还是什么原因,在windows上怎么也复现不了漏洞,最后我代码是在windows 10+IDEA+JDK9上编写,测试可以成功启动后,再打包为war包,到linux+ TOMCAT9.0.60+ JDK9上进行复现的。

三、代码及打包

1、 在IDEA中新建项目:我命名为springFrameworkdemo03,选择JDK11,如下:Spring

2、 选择spring WEB,Spring Boot还是2.6.6,如下:Spring

3、 在pom.xml文件中增加spring-beans信息,使用有漏洞的5.3.17版本,默认是5.3.18:

<dependency>

<groupId>org.springframework</groupId>

<artifactId>spring-beans</artifactId>

<version>5.3.17</version>

</dependency>

更新一下pom.xml文件,然后看看External Libraries中已经更新了5.3.17:Spring

4、 编写Controller文件,文件名:IndexController

package com.example.springframeworkdemo03;



import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.bind.annotation.RestController;



@RestController

public class IndexController



@RequestMapping("/unnamed/index2")

public void index(EvalBean evalBean,int id,String name)

System.out.println("id: " + id);

System.out.println("str: " + name);

System.out.println(evalBean);

evalBean.setName(name);



@RequestMapping("/")

public void root(EvalBean evalBean)

System.out.println(evalBean);



5、 编写参数绑定的实现文件,就是一堆的getter以及setter方法,EvalBean文件如下:

package com.example.springframeworkdemo03;



public class EvalBean

public EvalBean()

System.out.println("调用了evalbean.evalbean");



public String name;

public CommonBean commonBean;



public String getName()

System.out.println("调用了evalbean.getName");

return name;





public void setName(String name)

System.out.println("调用了evalbean.setName");

this.name = name;

System.out.println("evalbean中的this.name:"+this.name);





public CommonBean getCommonBean()

System.out.println("调用了evalbean.getCommonBean");

return commonBean;





public void setCommonBean(CommonBean commonBean)

System.out.println("调用了evalbean.setCommonBean");

this.commonBean = commonBean;



CommonBean文件:

package com.example.springframeworkdemo03;



public class CommonBean

public String common;



public String getCommon()

return common;





public void setCommon(String common)

this.common = common;



6、 看一下我的目录结构:Spring

7、 配置项目的构建,原来的名字太长了,都删掉,然后起一个springfwd03:Spring

8、 配置IDEA的tomcat:

Spring

选择前一步的包名称springfwd03:Spring

9、 启动Tomcat测试一下Spring是否可以正常的启动:Spring

可以看到在日志中显示Spring已经正常启动,这里我遇到很多的问题,报JAVA版本错误、或者tomcat启动了,日志中也显示部署了war包,但是spring没有正常运行等等。通过浏览器访问:Spring

查看日志:Spring

再带参数访问:http://localhost:8080/unnamed/index2?name=abc&id=12,然后查看一下日志:Spring

10、经过前面几步,可以看到这个环境已经正常了,现在把打包好的war包文件取出来,名称为springfwd03.war,路径为:IdeaProjects\\springFrameworkdemo03\\out\\artifacts\\springfwd03。也可以在Buid下面去手工打包。

四、部署到linux环境

1、 linux IP地址为192.168.238.142,这里我使用的是openJDK11:Spring

2、 部署后访问,并且查看日志:Spring

五、利用

1、在GITHUB上搜索CVE-2022-22965,有很多的POC/EXP可以下载学习,从GITHUB上下载了一个大佬的EXP:Spring

在webapps/ROOT目录下已经生成了tomcatwar.jsp,如下:Spring

2、浏览器访问:​​http://192.168.238.142:8080/tomcatwar.jsp?pwd=j&cmd=cat%20/etc/passwd​​,结果如下:

Spring

PS:在IDEA中后来检查的时候发现jsp文件也上传成功了的,就是利用访问的时候不成功,路径在:

C:\\Users\\user1\\AppData\\Local\\JetBrains\\IntelliJIdea2021.3\\tomcat\\d01a009d-ce38-4468-a34b-4b47c13486a5\\webapps\\ROOT

Spring

六、修复措施

1、 在3月31日SpringFramework官网已经发布了修复版本5.3.18以及5.2.20,因此比较彻底的解决方式为升级SpringFramework版本解决;

2、 由于该漏洞仅在JDK9及以上才可以被利用,因此可以降低JDK版本至JDK8;

3、 升级Tomcat的版本,从官网可以看到Apache Tomcat已经发布了10.0.20、9.0.62以及8.5.78版本,从Tomcat方面阻断该漏洞的利用链;

4、 利用WAF、IPS等应用层的入侵检测设备,可以看到公开的EXP都是通过POST上传了jsp文件,而在参数中都带有class、classloader等字段,因此可以对这些字段进行过滤。

七、检测措施

1、 通过测试及各方资料可以看到,当漏洞被利用后,access_log文件日志没有再产生新的访问日志,因此该文件会有访问日志缺失;

2、 在日志缺失之前会有访问上传的jsp文件的日志,可以看一下是否有异常的jsp文件访问;

3、 可以看一下在webapps相关的目录下是否有异常的jsp文件生成,如webapps/ROOT/tomcatwar.jsp,webapps/ROOT/shell.jsp文件等;

4、 这是绿盟提供的JSP脚本检测工具,不过我没有测试,有兴趣的可以去测试一下:https://zhuanlan.zhihu.com/p/491123557

八、总结

本篇文章重点在记录如何搭建Spring Framework RCE漏洞CVE-2022-22965环境,关于漏洞的成因由于个人知识有限,这里没有讲解,请见参考资料。

九、参考资料

1、 SpringFramework官网说明:https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

2、 GITHUB大佬的文章,包含原理讲解:​​https://github.com/TheGejr/SpringShell​

3、 B站大佬关于原理的讲解:https://www.bilibili.com/video/BV1ei4y1Q7nm?from=search&seid=6034420883713438739&spm_id_from=333.337.0.0

4、 在VULFOCUS上也已经更新了靶机,可以自行更新靶机或者登录开放的这个平台上直接去测试:http://vulfocus.io/#/login


以上是关于JDK9使用spring框架发现漏洞,官方对此有何回应?的主要内容,如果未能解决你的问题,请参考以下文章

最新漏洞:Spring Framework远程代码执行漏洞

Spring 官方证实:框架爆大漏洞,JDK 9 及以上版本均受影响

尚硅谷Spring学习笔记-- Spring5新功能

Spring Framework 远程命令执行漏洞复现(CVE-2022-22965)

三大框架有何区别

Spring 漏洞及其修复方案