老版本的Spring应用该如何应对这次的RCE漏洞?
依据 Spring官宣承认网传大漏洞,并提供解决方案 ,有小伙伴问了这样的问题: ,那如果我们的Spring版本比较老,该怎么办? 这是一个好问题,所以今天单独拿出来说说。
这次的RCE漏洞宣布之后,官方给出的主要解决方案是升级版本,但只有Spring 5.2、5.3和Spring Boot 2.5、2.6提供了对应的升级版本。
那么对于一些还在用Spring 5.0、5.1甚至Spring 4.x、或者Spring Boot 1.x和Spring 2.4及以下版本的用户该怎么办呢? 第一种方法
官方给出过一种通过扩展 RequestMappingHandlerAdapter 来实现的方法。同时也给出了一个Spring Boot下使用Spring MVC的实现方案,如果是WebFlux的话略做修改即可。但如果不是Spring Boot的话,则Bean的初始化方式还要再改改。 @SpringBootApplication public class MyApp { public static void main(String[] args) { SpringApplication.run(CarApp.class, args); } @Bean public WebMvcRegistrations mvcRegistrations() { return new WebMvcRegistrations() { @Override public RequestMappingHandlerAdapter getRequestMappingHandlerAdapter() { return new ExtendedRequestMappingHandlerAdapter(); } }; } private static class ExtendedRequestMappingHandlerAdapter extends RequestMappingHandlerAdapter { @Override protected InitBinderDataBinderFactory createDataBinderFactory(List methods) { return new ServletRequestDataBinderFactory(methods, getWebBindingInitializer()) { @Override protected ServletRequestDataBinder createBinderInstance( Object target, String name, NativeWebRequest request) throws Exception { ServletRequestDataBinder binder = super.createBinderInstance(target, name, request); String[] fields = binder.getDisallowedFields(); List fieldList = new ArrayList<>(fields != null ? Arrays.asList(fields) : Collections.emptyList()); fieldList.addAll(Arrays.asList("class.*", "Class.*", "*.class.*", "*.Class.*")); binder.setDisallowedFields(fieldList.toArray(new String[] {})); return binder; } }; } } }
这种需要我们去修改代码,其实我觉得还是有点麻烦的。如果对Spring机制不太熟悉的话,可能还会遇到不少麻烦。下面讲讲另外的几种方法。 第二种方法
下面要讲的方法主要是规避的思路。什么是规避呢?就是针对该漏洞的利用条件去做一些调整。
比如,这次漏洞的条件是这些: JDK 9 + 使用Apache Tomcat部署 使用WAR方式打包 依赖spring-webmvc或spring-webflux
那么我们就可以选择规避其中的1个条件来防止漏洞被利用,比如: 降级到JDK 8 使用Undertow部署 Spring Boot的话,还能调整打包方式,采用JAR来规避
另外,DD还注意到,这次漏洞公布之后,Tomcat的版本也更新了,所以当你用WAR部署的情况下,可以直接下载最新的Tomcat版本来规避也是一种不错的选择。
当然了,有条件跟进新版本的还是要采用更新版本的方式哦。
原作者:公众号-程序猿DD
南卡RunnerPro2耳机16G内存独立播放骨传导技术NFC连接南卡骨传导蓝牙耳机因为其不入耳的骨传导技术,带来更大的安全性,受到许多人尤其是跑者的喜爱,最近南卡又推出了年度旗舰骨传导耳机南卡RunnerPro2,拥有了更大的内存和NFC连接,联想第二款白菜价手机联想Z6Pro,骁龙855处理器大内存,为啥一些人不敢入手?谢邀!首先我们说现代商品的发展趋势肯定是追随于品牌,这是没有任何问题的,各个行业各个领域目前也都遵循这样的规律。而产品最终的核心竞争力一定是有相当一大部分的贡献来源于品牌。那么对于9款AppleWatch续航测试对比AppleWatch7续航提升多少?众所周知,苹果发布iPhone13系列旗舰手机的同时,也推出了最新款苹果智能手表AppleWatchSeries7,相较于前代机型,在核心性能和外观设计方面,AppleWatchSryzen6000系列处理器跑分曝光基准测试超过英特尔GPU援引cnbeta消息,AMD即将推出集成RDNA2GPU的Ryzen6000RembrandtAPU已经开始出现在基准测试中,测试结果显示,与英特尔和NVIDIA的同类产品相比,性电池续航测试排名6款手机对比,iPhone13ProMax排第几名?如今的智能手机似乎到了瓶颈期,创新越来越少,比如当前热卖的iPhone13系列旗舰手机,虽然没有什么创新,但丝毫不影响消费者对它的热爱,从各大平台来看,目前iPhone13系列机型老烧们的听力都还好吗?给大家推荐一款功能强大的听力测试软件我们在网上看到很多听力测试软件都是播放各种频率的录音,但很多音频视频格式的听力测试录音实际上质量低劣,它发出18K的频率可能因为录音设备或者放大设备的问题产生了其他频率的谐波。明明Mac系统优化工具,谁能推荐一款?最好不要优化,之前买过正版的cleanmymac3,竟然后期不维护了,新版要再花钱升级,现在等于废的。而且优化有可能导致各种问题,之前遇到过只能重装系统。卸载app的软件倒是可以用太过分了,苹果提出的要求太过分了太过分了,苹果提出的要求太过分了!幸好,比亚迪和宁德时代坚决不从,一起拒绝了苹果电池代工的邀请。究竟是怎么回事儿呢?大家都知道,苹果一直考虑造车,而且有意和比亚迪宁德合作,因为这是Twitter广告收入增长强劲,未受苹果公司更新隐私政策影响据华尔街日报10月27日报道,TwitterInc。公布第三财季收入增长37,基本上躲过了苹果公司新推出的应用程序隐私政策和供应链中断带来的数字广告市场动荡。该公司周二公布第三财季美监管机构狠批特斯拉(TSLA。US),称其自驾功能误导司机智通财经APP获悉,周二,美国国家运输安全委员会(NTSB)负责人批评了特斯拉(TSLA。US)的驾驶辅助系统Autopilot,称该公司在其最新系统中使用的完全自动驾驶(FSD)给苹果8p用12w的充电器充电会怎么样?会不会对电池不好?您好,我是镜片600度,很高兴回答这个问题。苹果8P用12W的充电器是否伤害手机,我给出的答案是不会伤害手机的。实测充8P的电流和充IPAD的差不多。具体为什么不会伤害手机,我来给