Spring漏洞

Spring Framework远程代码执行漏洞(CVE-2022-22965)排查和临时修复参考方案

来源:https://www.huocloud.com/news/industry/108.html

一、漏洞影响排查方法
业务系统运营者可按照以下三个步骤来判断是否受此漏洞影响。
(一)JDK版本号排查
在运行业务系统的服务器上,Windows操作系统可在运行中执行cmd打开命令行窗口,Linux操作系统可打开控制台窗口。
执行“java-version”命令查看运行的JDK版本。如果版本号小于等于8,则不受漏洞影响。
(二)Spring框架使用情况排查

  1. 如果业务系统项目以war包形式部署,按照如下的部署,按照如下的步骤进行判断:
    (1)解压war包:将war文件的后缀改成.zip,解压zip文件。
    (2)在解压缩目录下搜索是否存在spring-beans-.jar格式的jar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了Spring框架进行开发。 (3)如果spring-beans-.jar文件不存在,则在解压缩目录下搜索CachedIntrospectionResults.class文件是否存在,如果存在则说明业务系统使用了Spring框架进行开发。
  2. 如果项目系统以jar包形式直接独立运行,按照如下的步骤进行判断:
    (1)解压jar包:将jar文件的后缀修改成.zip,解压zip文件。
    (2)在解压缩目录下搜索是否存在spring-beans-.jar格式的jar文件(例如spring-beans-5.3.1.6.jar),如存在则说明业务系统使用了Spring框架进行开发。 (3)如果spring-beans-.jar文件不存在,则在解压缩目录下搜索CachedIntrospectionResults.class文件是否存在,如果存在则说明业务系统使用了Spring框架进行开发。
    (三)综合判断
    在完成以上两个步骤排查后,同时满足以下两个条件可确定受此漏洞影响:
    (1)JDK版本号在9及以上的;
    (2)使用了Spring框架或衍生框架。
    二、漏洞修复建议
    目前Spring官方无官方补丁,建议采用以下两个临时方案进行防护,并及时关注官方补丁发布情况,按官方补丁修复漏洞
    (一) WAF防护
    在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对”class.”, “Class.”,”.class.”,”.Class.”等字符串的规则过滤,并在部署过滤规则后,对业务运行情况进行测试,避免产生额外影响。
    (二) 临时修复措施
    需同时按照一下两个步骤进行漏洞的临时修复:
  3. 在应用中全局搜索@InitBinder注解,看看方法体内是否调用dataBinder.setDisallowedFields方法,如果发现此代码片段的引入,则在原来的黑名单中,添加{“class.”,”Class.”,”.class.”,”.Class.”}(注:如果此代码片段使用较多,则需要每个地方都追加)
  4. 在应用系统的项目包下新建以下全局类,并保证这个类被Spring加载到(推荐再Controller所在的包中添加)。完成类添加后,需对项目进行重新编译打包和功能验证测试,并重新发布项目。
    import org.springframework.core.annotation.Order;
    import org.springframework.web.bind.WebDataBinder;
    import org.springframework.web.bind.annotation.ControllerAdvice;
    import org.springframework.web.bind.annotation.InitBinder;
    @ControllerAdvice
    @Order(10000)
    public class GlobalControllerAdvice {
    @InitBinder
    public void setAllowebFields(WebDataBinder dataBinder) {
    String[] abd = new String[] {“class.”,”Class.”,”.class.”,”.Class.”};
    dataBinder.setDisallowedFields(abd);
    }
    }