admin管理员组

文章数量:1530965

今天 Spring 框架更新了一条可能造成 RCE(远程命令执行漏洞)的问题代码,如图:

随即在国内安全圈炸开了锅,大家纷纷转发一张图:

上次因为核弹级漏洞 log4j2 的 POC 公开,大批企业为了解决那个漏洞,纷纷升级 JDK 的版本,然而这次的漏洞恰好是在 jdk 9+ 版本存在,客户就很郁闷了,降级?log4j2 还没修完,再升级也没用,该怎么办?

已经有很多大厂的安全研究员对该漏洞进行了研究,并复现漏洞,下图是国内超级巨佬的复现截图:

弹计算机是验证命令执行漏洞存在的最常用的方式,当然,POC 已经被马赛克糊住了,如果你能把马赛克去掉,那么你也就有了该漏洞的 POC,这个时候,你就拥有了一个核弹级的漏洞武器,这是很危险的,权限越大,造成的危害越大。

对于企业来说,该怎么应对呢?肯定不能降低 jdk 的版本,可以临时解决该问题, 朋友圈已经开始传播解决方案,为大家提供一些建议:

1、有 waf 的企业,可以增加规则,拦截关键词 classClass ,猜测 POC 中会有相关关键词,所以有这条规则

2、没有 waf,可以在代码层,增加关键词 classClass的黑名单,调用 dataBinderDisallowFields 方法。

目前为止还没有 POC、EXP 公开,今晚可能又是个不眠夜,甲方安全从业者熬夜修漏洞,乙方安全研究员熬夜研究漏洞出解决方案,黑帽子、白帽子、灰帽子、绿帽子们熬夜坐等 POC、EXP,那么,你是否关注这个漏洞?

本文标签: 漏洞框架命令SpringRCE

版权声明:本文标题:Spring 框架更新了一条可能造成 RCE(远程命令执行漏洞) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1725281191a1016523.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。