問(wèn)題描述

近期spring官方公布了漏洞 - [CVE-2022-22965]
參考地址： https://tanzu.vmware.com/security/cve-2022-22965

參考issues提到的問(wèn)題答案開(kāi)發(fā)人員回應(yīng)： 可能是由于Springframework 3.x 早于 JDK9發(fā)布，甚至發(fā)布時(shí)還未完整的支持JDK8。我們都知道新版本的產(chǎn)品一般都是向下兼容的，所以spring運(yùn)行在新的JDK上是可行的，但是支持方面可能會(huì)出現(xiàn)的問(wèn)題只能靠自己維護(hù)。此外，Spring Framework 3.2.18（3.x EOL 之前的最新版本）處于 2016 年 12 月的安全補(bǔ)丁級(jí)別。繼續(xù)使用該版本會(huì)錯(cuò)過(guò)我們同時(shí)應(yīng)用于 4.x 和 5.x 的六年漏洞補(bǔ)丁和防御措施。當(dāng)前 CachedIntrospectionResults 更改的修補(bǔ)版本將涵蓋不受支持的 JDK 9+ 上的此特定攻擊向量，但即使在框架的受支持區(qū)域中，仍可能使您暴露于其他漏洞。

引發(fā)條件：

在 JDK 9+ 上運(yùn)行的 Spring MVC 或 Spring WebFlux 應(yīng)用程序可能容易受到通過(guò)數(shù)據(jù)綁定的遠(yuǎn)程代碼執(zhí)行 (RCE) 的攻擊。具體的利用需要應(yīng)用程序作為 WAR 部署在 Tomcat 上運(yùn)行。如果應(yīng)用程序被部署為 Spring Boot 可執(zhí)行 jar，即默認(rèn)值，則它不易受到漏洞利用。但是，該漏洞的性質(zhì)更為普遍，可能還有其他方法可以利用它。
這些是利用的先決條件：
JDK 9 或更高版本
Apache Tomcat 作為 Servlet 容器
打包為 WAR
spring-webmvc 或 spring-webflux 依賴項(xiàng)
Spring Framework
5.3.0 ==> 5.3.17
5.2.0 ==> 5.2.19

處理方法

安全版本：

• springframework == 5.3.18
• springframework == 5.2.20

升級(jí)方式：

通過(guò)Maven方式更新Spring版本

<properties><spring-framework.version>5.3.18</spring-framework.version> </properties>

通過(guò)Gradle升級(jí)Spring版本

ext['spring-framework.version']='5.3.18'

通過(guò)升級(jí)springboot提升Spring版本

<spring-boot.version>2.5.12</spring-boot.version>

總結(jié)

以上是生活随笔為你收集整理的Spring [CVE-2022-22965]漏洞处理的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。