Spring是Java  EE编程领域的热门开源框架，于2002年创建，旨在解决企业级编程开发中的复杂性、业务逻辑层和其他层松散耦合问题因此，它是一个将面向接口的编程思想渗透到整个系统APP应用中，实现敏捷开发的应用型框架。 目前，Spring框架已被许多公司广泛采用，包括大型科技公司，还包括一些“无服务器”(serverless  )服务提供商。
据外媒报道，Spring日前在github上更新了可能引起命令执行漏洞的修复代码。 这个漏洞现在在网上得到了正常的验证。 研究机构将这一脆弱性评估为高危级。 对于JDK版本号为9或更高的公司，建议尽快对Spring框架的使用情况进行故障排除和漏洞处理。
错误检查
)1)业务系统项目作为war包引入时，按以下步骤进行判断：
解压缩war包：将war文件的后缀更改为. zip，然后解压缩zip文件。
在解压缩目录中，查找是否存在spring-beans-*.jar格式的jar文件，如果存在，表示正在使用spring框架开发业务系统。
如果Spring-beans-*.jar文件不存在，请在解压缩目录下搜索cachedintrospectionresults.class文件是否存在，如果存在，请使用spring框架
)2)业务系统项目以jar包形式直接独立执行时，按以下步骤判断：
解压缩jar包：将jar文件的后缀更改为. zip，然后解压缩zip文件。
在解压缩目录中，查找是否存在spring-beans-*.jar格式的jar文件，如果存在，表示正在使用spring框架开发业务系统。
如果spring-beans-*.jar文件不存在，请在解压缩目录下搜索cachedintrospectionresults.class文件是否存在，如果存在，请使用spring框架
漏洞修复
目前，spring尚未正式发布漏洞补丁。 建议安全专家通过以下两个临时方案进行防护，及时关注官方补丁的发布情况。)1) WAF防护
在WAF等网络防护设备中，根据实际开展业务的流量情况，对“class.*”、“class.*”、“*.class.*”、“*.class.*”等字符串执行规则过滤
(2)临时修复措施
同时需要通过以下两个步骤进行径流临时修复。
在APP应用程序中全局搜索@InitBinder注释，检查是否在方法中调用了dataBinder.setDisallowedFields方法，如果找到此代码片段的引入，则返回原始blaraw
在APP应用程序系统的项目包下创建以下新的全局类，以确保Spring将该类加载到中： 建议添加到与控制器相同的包中。 添加完类后，必须对项目进行重新编译打包和功能验证测试。 重新发布项目。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 面向SecOps和NetOps团队的网络安全基础知识

• 分享到：