漏洞炒作!

简介: 昨天,最受欢迎的开源轻量级 Java 框架 Spring 被曝存在高危的 RCE(远程控制设备) 零日漏洞 ,北京大学计算中心、外媒 praetorian 、 bleepingcomputer 等站点对该漏洞进行了报道。

哈喽,大家好,我是强哥。


昨天,最受欢迎的开源轻量级 Java 框架 Spring 被曝存在高危的 RCE(远程控制设备) 零日漏洞 ,北京大学计算中心、外媒 praetorian 、 bleepingcomputer 等站点对该漏洞进行了报道。


炒作


强哥也看到了很多媒体疯狂报道此事,根据网上疯传的介绍,该 RCE 漏洞源于 Spring 框架核心的 SerializationUtils#dserialize 方法,该方法基于 Java 的序列化与反序列机制,可导致远程代码执行 (RCE),使用 JDK9 及以上版本皆有可能受到影响。


21.png


如果确实存在,那么这个 Spring 框架 RCE 漏洞的影响将远超此前的 Log4j 或 Heartbleed ,但强哥在翻了一整天,也没有看到谁能真正复现此漏洞(没有完整的 Poc)。所有内容千篇一律:


  1. WAF临时策略


20.png


  1. 临时缓解措施


19.png


GitHub 上倒是有很多命名为 Spring core RCE 的新仓库,但也基本都是“懂的都懂”的谜语描述,没有真正的干货内容。


18.png


不过,强哥也看到好多原来披露漏洞的文章,现在页面404了。


17.png


另一种声音


具体404的原因可能和下面的描述有关。


早在 2 月 19 日 Spring 框架的仓库就出现过对该 SerializationUtils 方法的讨论,开发者 ledoyen  就指出:基于 Java 的序列化机制,SerializationUtils#dserialize 可能导致 RCE 远程代码执行漏洞,因此他提出了弃用 SerializationUtils#dserialize 的 PR #28075 :


16.png


有人询问在该 PR 下询问“SerializationUtils#dserialize 是否应该作为漏洞报道”时, ledoyen 也进行解释:


SerializationUtils#dserialize本身不是漏洞,使用此工具处理用户输入数据可能会导致 CVE,但该方法在内部作为缓存结果拦截器( CacheResultInterceptor) 使用的话,则不会导致任何漏洞。


目前, SerializationUtils#dserialize在 Spring Framework 6.0 中已弃用,而对于 5.3.x 版本,则是向 Javadoc 中添加针对 SerializationUtils 工具类的警告,以提高用户的警觉意识。


到底有没有漏洞


首先我们来看下GitHub上在spring-framework上提出漏洞的issue吧:


15.png


我们可以看到,目前该issue的状态已经被设置为close-invalid,不过到底是否是漏洞,作者也有让提出该issue的人将漏洞提到 https://spring.io/security-policy上。而具体的漏洞是否存在,还是需要等待后续官方披露。


当然,我们要怎么确定到底官方是否公布了漏洞呢?


Spring官方的具体漏洞披露地址如下:


https://tanzu.vmware.com/security


14.png


从上可以看出,暂时官方博客的最新漏洞公告是 CVE-2022-22963:Spring 表达式资源访问漏洞 和 CVE-2022-22950:Spring 表达式 DoS 漏洞 ,但这两个漏洞的严重程度都是中等,还未披露网传 Spring 核心框架的 RCE 高危漏洞。


而强哥上篇推文提到的漏洞:Spring Cloud Function现SPEL 表达式漏洞,SPEL 表达式到底是个啥?,就可以在这里找到:


13.png


感兴趣的小伙伴可以持续关注这个地址,如果确认是漏洞,官方应该会第一时间说明。


强哥有话说


可以说,漏洞问题确实非常容易拉紧人们的神经。就如上次的log4j的漏洞,导致很多人连夜升级版本,而且还是多次。


可是,对于漏洞本身,我们还是需要有足够的辨识能力,如果真的对切身有关,同时有人真的提出了复现漏洞的方式,不妨跟着重现一下,这样,在确认漏洞的同时,自己也能从中学到许多。


后续该漏洞的进展,强哥也会持续跟进。

相关文章
|
3月前
|
SQL 安全 算法
网络安全的守护者:从漏洞到意识
【8月更文挑战第6天】在数字时代的浪潮中,网络安全和信息安全成为了保护个人隐私和企业资产的重要屏障。本文将深入探讨网络安全漏洞、加密技术以及安全意识的重要性,旨在提升读者对网络威胁的认识,并鼓励采取积极措施以确保数据的安全。通过分析最新的安全趋势和技术,我们将揭示如何构建一个更加坚固的防御体系,同时强调人为因素在安全策略中的关键作用。
|
安全 Perl
威胁快报|挖矿团伙8220进化,rootkit挖矿趋势兴起
近日,阿里云安全团队发现8220挖矿团伙为了更持久的驻留主机以获得最大收益,开始使用rootkit技术来进行自我隐藏。这类隐藏技术的使用在watchdogs等挖矿蠕虫使用后开始出现逐渐扩散和进化的趋势,此后预计主机侧的隐藏和对抗将成为主流。
13586 0
|
SQL 安全 网络安全
2009年六大网络安全威胁:SQL注入攻击位列榜首
据国外媒体报道,IT安全与控制公司Sophos日前发布2009年网络安全威胁报告称,自20年前世界上第一个蠕虫病毒出现以来,网页成为网络罪犯进行攻击的主要途径,每4.5秒便会发现一个新的被病毒感染网页。
1056 0
|
安全
最危险黑客为避免被引渡努力 曾入侵五角大楼
北京时间6月10日消息,据国外媒体报道,英国电脑黑客加里·麦金农(Gary Mckinnon)为避免被引渡到美国将进行最后努力。麦金农因为被美国称为有史以来最为严重的军事黑客行为而被美方通缉。 被称为“有史以来最大的军事黑客”的加里·麦金农 麦金农律师周二将在伦敦伦敦高等法院为其辩护。
842 0
|
移动开发 安全 Android开发
|
安全 数据安全/隐私保护
又一重大漏洞现身 “疯怪”危及世界互联网安全
本文讲的是又一重大漏洞现身 “疯怪”危及世界互联网安全,安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫、国家安全局和联邦调查局的网站,并危及世界互联网安全。
1234 0
|
存储 安全 网络安全
|
安全 数据安全/隐私保护 芯片
下一篇
无影云桌面