問題描述

近期spring官方公布了漏洞 - [CVE-2022-22965]
參考地址： https://tanzu.vmware.com/security/cve-2022-22965

參考issues提到的問題答案開發人員回應： 可能是由于Springframework 3.x 早于 JDK9發布，甚至發布時還未完整的支持JDK8。我們都知道新版本的產品一般都是向下兼容的，所以spring運行在新的JDK上是可行的，但是支持方面可能會出現的問題只能靠自己維護。此外，Spring Framework 3.2.18（3.x EOL 之前的最新版本）處于 2016 年 12 月的安全補丁級別。繼續使用該版本會錯過我們同時應用于 4.x 和 5.x 的六年漏洞補丁和防御措施。當前 CachedIntrospectionResults 更改的修補版本將涵蓋不受支持的 JDK 9+ 上的此特定攻擊向量，但即使在框架的受支持區域中，仍可能使您暴露于其他漏洞。

引發條件：

在 JDK 9+ 上運行的 Spring MVC 或 Spring WebFlux 應用程序可能容易受到通過數據綁定的遠程代碼執行 (RCE) 的攻擊。具體的利用需要應用程序作為 WAR 部署在 Tomcat 上運行。如果應用程序被部署為 Spring Boot 可執行 jar，即默認值，則它不易受到漏洞利用。但是，該漏洞的性質更為普遍，可能還有其他方法可以利用它。
這些是利用的先決條件：
JDK 9 或更高版本
Apache Tomcat 作為 Servlet 容器
打包為 WAR
spring-webmvc 或 spring-webflux 依賴項
Spring Framework
5.3.0 ==> 5.3.17
5.2.0 ==> 5.2.19

處理方法

安全版本：

• springframework == 5.3.18
• springframework == 5.2.20

升級方式：

通過Maven方式更新Spring版本

<properties><spring-framework.version>5.3.18</spring-framework.version> </properties>

通過Gradle升級Spring版本

ext['spring-framework.version']='5.3.18'

通過升級springboot提升Spring版本

<spring-boot.version>2.5.12</spring-boot.version>

總結

以上是生活随笔為你收集整理的Spring [CVE-2022-22965]漏洞处理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。