我们从2011年坚守至今,只想做存粹的技术论坛。  由于网站在外面,点击附件后要很长世间才弹出下载,请耐心等待,勿重复点击不要用Edge和IE浏览器下载,否则提示不安全下载不了

 找回密码
 立即注册
搜索
查看: 428|回复: 4

[最新新闻] Spring官宣网传大漏洞

[复制链接]

该用户从未签到

36

主题

70

回帖

270

积分

二级逆天

积分
270

终身成就奖

发表于 2022-4-1 15:42:14 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区

您需要 登录 才可以下载或查看,没有账号?立即注册

×
Spring沦陷了!这样的标题这几天是不是看腻了?然而,仔细看看都是拿着之前的几个毫不相干的CVE来大吹特吹。所以,昨天发了一篇关于最近网传的Spring大漏洞的文章,聊了聊这些让人迷惑的营销文、以及提醒大家不要去下载一些利用漏洞提供补丁的钓鱼内容。而对于这个网传的漏洞,依然保持关注状态,因为确实可能存在,只是没有官宣。

就在不久前(3月31日晚),Spring社区发布了一篇名为《Spring Framework RCE, Early Announcement》的文章,官宣了最近网传的Spring漏洞。这也证实了网传漏洞确实存在,并且并非最近很多文章说提到的3月28、29日公布的CVE,如果你是照着那些文章解决问题的话,请根据这次官宣内容重新来过吧。

这次确定的Spring核心框架中的RCE漏洞,CVE号为CVE-2022-22965[1]。



这个漏洞是在周二深夜,由AntGroup FG的codePlutos,meizjm3i向VMware报告。周三,Spring官方对该问题进行了调查、分析并确定了解决方案,同时计划在周四进行紧急版本的发布。

由于该漏洞被泄漏在网络上,所以Spring官方紧急发布了相关修复的版本,因为是Spring核心框架中的漏洞,所以涉及面较广。所以在这篇博文中也是在不断的持续更新进展,下面截止到本文发稿的进展时间线:



下面就来一起看看这个被网传了2天的神秘漏洞的官宣内容和解决方案。

影响范围
该漏洞的利用需要满足下面的条件:

JDK 9 +
使用Apache Tomcat部署
使用WAR方式打包
依赖spring-webmvc或spring-webflux
虽然可能国内大部分用户还在用JDK 8、或者采用内置Tomcat的方式运行,但由于该漏洞的特性比较普遍,不排除其他利用方式的存在。所以,DD还是建议在有条件的情况下,尽快升到最新版本来避免可能存在的风险发生。
回复

使用道具 举报

该用户从未签到

1

主题

6218

回帖

8731

积分

二级逆天

积分
8731

终身成就奖特殊贡献奖原创先锋奖优秀斑竹奖

QQ
发表于 2022-4-1 16:53:38 | 显示全部楼层
回复

使用道具 举报

该用户从未签到

6

主题

724

回帖

0

积分

二级逆天

积分
0

终身成就奖

发表于 2022-4-1 22:43:06 | 显示全部楼层
回复

使用道具 举报

该用户从未签到

5

主题

1411

回帖

2656

积分

二级逆天

积分
2656

终身成就奖特殊贡献奖优秀斑竹奖

发表于 2022-4-2 06:51:03 | 显示全部楼层
回复

使用道具 举报

  • TA的每日心情

    1 小时前
  • 签到天数: 195 天

    [LV.7]常住居民III

    8

    主题

    5304

    回帖

    4614

    积分

    二级逆天

    积分
    4614

    终身成就奖特殊贡献奖原创先锋奖优秀斑竹奖

    发表于 2022-4-2 08:07:00 | 显示全部楼层
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    每日签到,有金币领取。


    Copyright ©2011-2024 NTpcb.com All Right Reserved.  Powered by Discuz! (NTpcb)

    本站信息均由会员发表,不代表NTpcb立场,如侵犯了您的权利请发帖投诉

    ( 闽ICP备2024076463号-1 ) 论坛技术支持QQ群171867948 ,论坛问题,充值问题请联系QQ1308068381

    平平安安
    TOP
    快速回复 返回顶部 返回列表