关于Spring远程代码执行漏洞的安全预警

发布者:戚腾飞发布时间:2022-03-30浏览次数:12

综合多方网络安全通报研判,近日Java Spring框架被发现存在远程命令执行漏洞,未经身份验证的攻击者可以使用该漏洞进行远程代码执行和获取服务器控制权,存在明显安全威胁,请涉及使用Java Spring框架(特别是,相关Java JDK版本>=9.0)的第三方应用厂商和师生尽快确认是否存在漏洞问题并第一时间进行整改和升级,避免因存在漏洞隐患发送网络安全事件。漏洞详情和相关处置建议如下:

漏洞详情:Spring远程代码执行漏洞

Spring是一款目前主流的Java EE轻量级开源框架,为JavaEE应用提供多方面的解决方案,用于简化企业级应用的开发。

危害等级:

漏洞影响范围(同时满足以下条件):

1)使用了JDK 9及以上

2)Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class


漏洞排查方法

JDK版本号排查:

在业务系统的运行服务器上,执行“java -version”命令查看运行的JDK版本,如果版本号小于等于8,则不受漏洞影响。

Spring框架使用情况排查:

1、如果业务系统项目以war包形式部署,按照如下步骤进行判断:

1)解压war包:将war文件的后缀修改成.zip ,解压zip文件;

2)在解压缩目录下搜索是否存在spring-beans-*.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了Spring框架进行开发;

3)如果spring-beans-*.jar文件不存在,则在解压缩目录下搜索CachedIntrospectionResuLts.class文件是否存在,如存在则说明业务系统使用了Spring框架开发。

2、如果业务系统项目以jar包形式直接独立运行,按照如下步骤进行判断:

1)解压jar包:将jar文件的后缀修改成.zip,解压zip文件;

2)在解压缩目录下搜索是否存在spring-beans-*.jar格式的jar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了Spring框架进行开发;

3)如果spring-beans-*.jar文件不存在,则在解压缩目录下搜索CachedIntrospectionResuLts.class文件是否存在,如存在则说明业务系统使用了Spring框架进行开发。


处置建议

据悉,Spring官方已发布更新版本,将Spring框架升级到5.3.17版本;建议升级后确认一下漏洞是否已经处置,参见:https://github.com/spring-projects/spring-framework

此外,还有两个临时方案进行防护,具体情况如下:

1、WAF临时策略(仅供参考)

在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对“class.*”,“Class.*”,“*.class.*”,“*.Class.*”等字符串的规则过滤,并在部署过滤规则后,对业务允许情况进行测试,避免产生额外影响。

2、临时缓解措施(仅供参考)

需同时按以下两个步骤进行漏洞临时处置:

1)在应用中全局搜索@InitBinder注解,看看方法体内是否调用dataBinder.setDisallowedFields方法,如果发现此代码片段的引入,则在原来的黑名单中,添加:

{class.*,Class. *,*. class.*, *.Class.*}

(注:如果此代码片段使用较多,需要每个地方都追加)

2)在应用系统的项目包下新建以下全局类,并保证这个类被Spring 加载到(推荐在Controller所在的包中添加)。完成类添加后,需对项目进行重新编译打包和功能验证测试。并重新发布项目。

import org.springframework.core.annotation.Order;

import org.springframework.web.bind.WebDataBinder;

import org.springframework.web.bind.annotation.ControllerAdvice;

import org.springframework.web.bind.annotation.InitBinder;


@ControllerAdvice

@Order(10000)

public class a{

    @InitBinder

    public void setAllowedFields(WebDataBinder dataBinder) {

        String[] abd = new String[]{class.*, Class.*, *.class.*, *.Class.*};

        dataBinder.setDisallowedFields(abd);

    }

}


信息来源:广东省网络安全应急响应中心 哈尔滨工业大学 大连理工大学