最新漏洞预警CVE22965漏洞预警分析报告
壹-漏洞介绍
Spring 是一个支持快速开发 Java EE 应用程序的框架。它提供了一系列底层容器和基础设施,并可以和大量常用的开源框架无缝集成,可以说是开发 Java EE 应用程序的必备。该漏洞是由于 Spring Framework 未对传输的数据进行有效的验证,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器权限。
贰-攻击场景
攻击场景如下:* JDK9及其以上版本;* 使 了Spring-beans包;* 使 了Spring参数绑定;* Spring参数绑定使 的是 基本参数类型,例如 般的POJO即可。
叁-漏洞分析
该漏洞基本使 式就是利 . 的形式给参数进 赋值,实际赋值过程会使 反射调 参数的 getter or setter 。它需要绑定的参数的数据结构是 个简单的POJO,具体如下:
Controller写法如下:
参数绑定的整个流程如下:
流程 会有 个 class 属性缓存:
简单的就可以获取到 class 对象,那剩下的就是利 这个 class 对象构造利 链了。 前 较简单的 式就是修改Tomcat的 志配置,向 志中写 shell。 条完整的利 链如下:
具体的攻击步骤如下,先后发送5个请求:
发送完毕这5个请求后,Tomcat的 志配置被修改成如下:
接着,我们只需要随便发送 个请求,加 个header,即可写 shell:
可以正常访问shell:
肆-漏洞复现
Spring可以和大量常用的开源框架无缝集成,可以说是开发 Java EE 应用程序的必备。该漏洞是由于 Spring Framework 未对传输的数据进行有效的验证,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器权限。
VULFOCUS靶场找到"Spring Framework 远程命令执行漏洞",启动创建一个靶场:
使用公开EXP,获取shell地址:
浏览器访问shell地址,发现whoami命令已经被执行:
尝试将whoami修改为创建/删除文件夹。
创建文件夹test:
删除文件夹test:
伍-修复建议
一、官方修复建议:
当前Spring Framework 官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/spring-projects/spring-framework/tags
注:SpringFramework 5.3.18和Spring Framework 5.2.20是 Spring 官方提供的两个安全版本。(截止至3月31日)
二、临时修复建议:
该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案,需同时按以下两个步骤进行漏洞的临时修复:
步骤1.在应用中全局搜索@InitBinder注解,看看方法体内是否调用dataBinder.setDisallowedFields方法,如果发现此代码片段的引入,则在原来的黑名单中,添加{"class.*","Class.*","*. class.*", "*.Class.*"}。(注:如果此代码片段使用较多,需要每个地方都追加。)
步骤2. 在应用系统的项目包下新建以下全局类,并保证这个类被 Spring 加载到(推荐在Controller所在的包中添加)。完成类添加后,需对项目进行重新编译打包和功能验证测试,并重新发布项目。
名门修谱董明珠被哥哥踢出族谱,家谱是威胁族人的工具?董明珠最近董明珠自曝,自己收到哥哥寄来的绝交信,不但断绝30多年的兄妹关系,甚至被哥哥踢出族谱的事情,闹得沸沸扬扬。作为格力董事长,这不应该是家族的荣耀吗?这件事情也完全地说明了,
硬件缺席!苹果春季发布会推出四项软件服务,或将推进苹果转型苹果春季新品发布会已完美落幕,这是一场让美国人欢呼,让中国人懵圈的发布会。本次发布会堪称一场软件盛宴,带来了四项全新的软件服务。AppleNews(新闻应用)与世界上众多知名的报刊
名门修谱新修家谱时,老谱的内容,建议全部保留互联网家谱自从互联网家谱慢慢被普及,很多修谱的宗亲也体验到了现在修谱的便捷。想要修好自家的互联网家谱,把老谱数据搬移到互联网家谱是必不可少的一步。面对一本厚厚的老谱资料,里面的内容
什么云才是好云,华为云灾备方案让安全到家数字化正在加速,客户需求日趋复杂,云服务已成为企业IT的底层支柱。但是,云服务商面临的压力承担的责任也越来越大,如何确保客户的业务无中断?成为云服务商不得不重点考虑的一个问题。最近
国庆启动修谱把30年一小修,改成每年一小修族谱家谱30年一小修,60年一大修。这在修谱圈子内,已经成了一种规矩和定律。古人云谱宜三十年一修,若不遵此,即属不孝。因此很多大家族,也就把这个修谱的时间规律沿袭了下来。国庆假期,
继被盗全赔后,支付宝又上线一大安全神器,网友不怕被盗如今,手机已经成为日常生活的必备之物,给人们带来了极大方便,但也随之出现了花样百出的电信诈骗。尤其是大家已经习惯了把钱放进手机里,一旦被骗,损失就会很惨重。这样的骗局我们听得并不少
名门修谱为什么要把家谱修到互联网上?互联网家谱互联网家谱的盛行,是近几年修谱市场一次巨大的变革。都到了2020年了,你们家的家谱还没上互联网?这个问题背后,唯一的答案就是。你还不知道,家谱修到互联网上,能够有多大的便
名门修谱互联网家谱的终旨修谱贵在真诚国有志,姓有谱,国无志,国家就不知道历朝来的强弱富穷姓无家谱,姓氏就不知道历代来的旺败兴衰。叙家谱一不是拉派性二不是拉集团,三不是搞什么反动组织,搞违法犯纪之事,互相包庇,更不是以
友商都酸的变焦技术,OPPOReno或与华为P30双雄对决前几日,华为发布会重点秀了P30系列的拍摄能力,并且是拿着三星S10和iPhoneXSMax对比吊打,甚至还晒出了能够真正拍银河系的照片。华为在拍照变焦这块的突破,已经得到了世界的
名门修谱家谱必须修,但不建议修统宗谱族谱家谱是纪录一个家族发展的历史书籍,很多大的家族或者姓氏宗亲,至今都仍然保留着隔几年就修一次家谱的习惯。对于修家谱,早期就有专家发表自己的想法家谱可以修,但统宗谱却不建议修。同样
商家炮轰拼多多纵容山寨要有底线近日,电器制造商驰伟在微博发布声明,指责拼多多纵容商家销售仿制山寨产品,侵犯公司知识产权,向法院递提起诉讼。驰伟声明显示,其公司坚持原创设计,为区别于市面上常见的长方形插座,设计出