描述:
Spring 發布了一個安全公告,以應對 Spring Framework 中的多個遠端執行程式碼漏洞。遠端攻擊者可以通過傳送特製的請求,從而攻擊漏洞。
有報告指 Spring Cloud Function 中的一個遠端執行程式碼漏洞 (CVE-2022-22963) 正受到攻擊,而另一個 Spring Framework 中的遠端執行程式碼漏洞 (CVE-2022-22965) 亦正處於被攻擊的高風險。系統管理員應立即為受影響的系統安裝修補程式,以減低受到網絡攻擊的風險。
受影響的系統:
- Spring Cloud Function 3.1.7 之前的版本或版本 3.2.3
- Spring Framework 5.3.18 之前的版本或版本 5.2.20 ,並符合以下條件:
- 在 Java Development Kit (JDK) 版本 9 或以後運作
- 使用 Apache Tomcat 作為 Servlet 容器
- 套裝為 Web application ARchive (WAR) 檔案
- 採用 spring-webmvc 或 spring-webflux 相關性
根據目前資料,現時存在漏洞 CVE-2022-22965 被其他手法攻擊的可能性,然而有關手法未被報告。系統管理員應參考 Spring 的最新資料,以識別受影響的系統。
影響:
成功利用漏洞可以在受影響的系統上導致遠端執行程式碼。
建議:
Spring 發布了有關產品的新版本以應對以上問題。用戶可於以下網址下載:
- https://spring.io/blog/2022/03/29/cve-report-published-for-spring-cloud-function
- https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
如無法立即安裝修補程式以應對漏洞 CVE-2022-22965,受影響系統的管理員應遵從以下建議,立即採取行動以拒絕含有漏洞的“{"class.*", "Class.*", "*.class.*", "*.Class.*"}”字段樣式:
- 選項一:
- 若可使用網上應用系統防火牆 (WAF) ,以偵測規則集堵截字段樣式的惡意行動。
- 選項二:
- 於 “dataBinder” 設定 “DisallowedFields”,以拒絕含有漏洞的字段樣式。有關推行措施的詳細步驟,可於以下網址了解:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
- 須用重新編譯方能使此措施生效。管理員應在實際部署前驗證功能。
進一步資訊:
- https://spring.io/blog/2022/03/29/cve-report-published-for-spring-cloud-function
- https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
- https://www.csa.gov.sg/en/singcert/Alerts/al-2022-016
- https://www.cyber.gov.au/acsc/view-all-content/alerts/multiple-vulnerabilities-present-spring-framework-java
- https://www.hkcert.org/tc/security-bulletin/spring-framework-remote-code-execution-vulnerability_20220401
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22963
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965