描述:
Spring 发布了一个安全公告,以应对 Spring Framework 中的多个远端执行程式码漏洞。远端攻击者可以通过传送特製的请求,从而攻击漏洞。
有报告指 Spring Cloud Function 中的一个远端执行程式码漏洞 (CVE-2022-22963) 正受到攻击,而另一个 Spring Framework 中的远端执行程式码漏洞 (CVE-2022-22965) 亦正处於被攻击的高风险。系统管理员应立即为受影响的系统安装修补程式,以减低受到网络攻击的风险。
受影响的系统:
- Spring Cloud Function 3.1.7 之前的版本或版本 3.2.3
- Spring Framework 5.3.18 之前的版本或版本 5.2.20 ,并符合以下条件:
- 在 Java Development Kit (JDK) 版本 9 或以後运作
- 使用 Apache Tomcat 作为 Servlet 容器
- 套装为 Web application ARchive (WAR) 档案
- 采用 spring-webmvc 或 spring-webflux 相关性
根据目前资料,现时存在漏洞 CVE-2022-22965 被其他手法攻击的可能性,然而有关手法未被报告。系统管理员应参考 Spring 的最新资料,以识别受影响的系统。
影响:
成功利用漏洞可以在受影响的系统上导致远端执行程式码。
建议:
Spring 发布了有关产品的新版本以应对以上问题。用户可於以下网址下载:
- https://spring.io/blog/2022/03/29/cve-report-published-for-spring-cloud-function
- https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
如无法立即安装修补程式以应对漏洞 CVE-2022-22965,受影响系统的管理员应遵从以下建议,立即采取行动以拒绝含有漏洞的“{"class.*", "Class.*", "*.class.*", "*.Class.*"}”字段样式:
- 选项一:
- 若可使用网上应用系统防火墙 (WAF) ,以侦测规则集堵截字段样式的恶意行动。
- 选项二:
- 於 “dataBinder” 设定 “DisallowedFields”,以拒绝含有漏洞的字段样式。有关推行措施的详细步骤,可於以下网址了解:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
- 须用重新编译方能使此措施生效。管理员应在实际部署前验證功能。
进一步信息:
- https://spring.io/blog/2022/03/29/cve-report-published-for-spring-cloud-function
- https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
- https://www.csa.gov.sg/en/singcert/Alerts/al-2022-016
- https://www.cyber.gov.au/acsc/view-all-content/alerts/multiple-vulnerabilities-present-spring-framework-java
- https://www.hkcert.org/tc/security-bulletin/spring-framework-remote-code-execution-vulnerability_20220401
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22963
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965