之前刚刚过去的log4j2漏洞还历历在目,这次来了个更大的……
云舒老大在29日发微博称,出了个超级大漏洞。有吃瓜群众就问:“这个瓜有 log4j2 那么好吃吗?”
云舒大佬的回复是:“更大”。
之后,又有安全大佬sunwear给了一些更细节的信息:
所以漏洞影响范围,可以缩小到使用Java 9+和Spring的项目上了。
评论区很多网友感叹“它生任它生,我用 Java8”是永恒的真理!
可以明确的是,Spring 这次漏洞和 Log4j2 那次相比,只能说是小巫见大巫,不一个重量级哈。
这次的 Spring 的漏洞也是再次提醒我们:“千万不要随意升级 JDK 版本啊”!
从 Spring 项目的 Git 提交记录来看,在漏洞消息疯传的同时, Spring 开发者似乎在紧急处理漏洞相关的代码,比如 3 月 29日的新提交:弃用 SerializationUtils#deserialize 。
在这个敏感的时间点,该提交引了一些紧张情绪,很多用户在该提交下面留言,询问该提交的代码改动是否与网传的 0day RCE 漏洞相关?而 Spring 核心开发者之一 sbrannen 对此作出澄清:
如果确实存在,那么这个 Spring 框架 RCE 漏洞的影响将远超此前的 Log4j 或 Heartbleed ,但已经过去了一整天,也没有看到谁能真正复现此漏洞。
目前为数不多的详细 PoC 还是故意先按 Spring 文档明确反对的用法引入易受攻击的代码,再进行漏洞攻击 …而据郑州网络安全协会报道,甚至还有人打着 Poc 的幌子钓鱼…
截至发稿时间,Spring 团队没有对该漏洞发表任何官方公告。
官方博客的最新漏洞公告是 CVE-2022-22963:Spring 表达式资源访问漏洞 和 CVE-2022-22950:Spring 表达式 DoS 漏洞 ,但这两个漏洞的严重程度都是中等,无法与网传 Spring 核心框架的 RCE 高危程度相比。
你用的是Java的什么版本呢?欢迎大家一起聊聊。
参考:https://weibo.com/ttarticle/p/show?id=2309404753083396653175
