CVE-2017-8046:Spring Data REST远程代码执行漏洞
2017年9月21日,流行的Java框架spring被爆出一个高位漏洞,漏洞CVE编号为:CVE-2017-8046,黑客可以利用该漏洞远程执行命令,使用了spring框架的业务存在高安全风险
具体详情如下:
漏洞编号:
CVE-2017-8046
漏洞名称:
Java Spring Data REST远程代码执行漏洞
官方评级:
高危
漏洞描述:
恶意攻击者使用精心构造的JSON数据包提交给spring-data-rest服务器的恶意PATCH请求可以执行任意的Java代码。
漏洞利用条件和方式:
网站使用Spring Data REST提供REST Web服务,版本在受影响范围内。
漏洞影响范围:
* Spring Data REST 2.5.12, 2.6.7, 3.0 RC3之前的版本
* Spring Boot 2.0.0M4之前的版本
* Spring Data release trains Kay-RC3之前的版本
漏洞检测:
开发人员检查使用的Spring是否在受影响版本范围内。
漏洞修复建议(或缓解措施):
升级到以下最新版本:
* Spring Data REST 2.5.12, 2.6.7, 3.0 RC3
* Spring Boot 2.0.0.M4
* Spring Data release train Kay-RC3
情报来源:
1. https://pivotal.io/security/cve-2017-8046
2. https://github.com/spring-projects/spring-data-rest/commit/8f269e28fe8038a6c60f31a1c36cfda04795ab45
3. http://projects.spring.io/spring-data-rest/
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
了解到您关心的是2017年关于Java Spring Data REST远程代码执行漏洞(CVE-2017-8046)的信息,这是一个高危安全问题,允许黑客通过构造特定的JSON数据包来提交恶意PATCH请求,进而执行任意Java代码。为了确保业务系统的安全性,确实需要对使用了Spring框架且受影响的应用采取相应的措施。
漏洞影响与修复建议
如您所述,该漏洞影响以下版本的Spring Data REST、Spring Boot以及Spring Data release trains,若您的应用使用了这些范围内版本的Spring框架,应立即采取行动:
-
受影响范围:
- Spring Data REST:2.5.12之前的版本,2.6.7之前的版本,3.0 RC3之前的版本
- Spring Boot:2.0.0M4之前的版本
- Spring Data release trains Kay-RC3之前的版本
-
修复建议:
- 升级到安全版本:推荐将您的Spring框架升级至以下安全版本或更高版本:
- Spring Data REST:升级至2.5.12, 2.6.7, 或3.0 RC3
- Spring Boot:升级至2.0.0.M4
- Spring Data release train:升级至Kay-RC3
检测与情报来源
- 检测方法:开发团队应检查当前项目中使用的Spring框架版本,确认是否在上述受影响范围内。
- 情报及官方信息来源:
- Pivotal官方安全公告
- Spring Data REST GitHub提交记录
- Spring Data REST项目主页
阿里云产品辅助建议
虽然阿里云直接提供的是云计算服务和解决方案,但针对此类安全问题,您可以考虑利用阿里云的安全产品和服务来加强应用的安全性:
- 云安全中心:可以自动检测服务器上的软件版本,包括Java环境和相关框架,及时发现并提醒存在安全漏洞的组件,帮助快速修复。
- Web应用防火墙(WAF):即使在未及时修复漏洞的情况下,WAF也能提供额外的一层防护,阻止利用已知漏洞的攻击尝试。
- 代码安全扫描服务:对于自研系统,可以通过代码扫描工具检查代码中是否存在潜在的安全风险和漏洞。
确保定期关注并应用安全更新是维护系统安全性的关键步骤之一。希望这些建议能帮助您有效应对类似的安全挑战。您也可以通过ECS一键诊断全面排查并修复ECS问题。
