日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Log4j未平,Spring高危漏洞又起!

Spring是Java EE編程領(lǐng)域的一個(gè)熱門開源框架,該框架在2002年創(chuàng)建,是為了解決企業(yè)級(jí)編程開發(fā)中的復(fù)雜性,業(yè)務(wù)邏輯層和其他各層的松耦合問題,因此它將面向接口的編程思想貫穿整個(gè)系統(tǒng)應(yīng)用,實(shí)現(xiàn)敏捷開發(fā)的應(yīng)用型框架。目前,Spring 框架已被包括科技巨頭公司在內(nèi)的大量企業(yè)廣泛采用,還包括一些“無服務(wù)器”(serverless)服務(wù)提供商。

“專業(yè)、務(wù)實(shí)、高效、創(chuàng)新、把客戶的事當(dāng)成自己的事”是我們每一個(gè)人一直以來堅(jiān)持追求的企業(yè)文化。 成都創(chuàng)新互聯(lián)公司是您可以信賴的網(wǎng)站建設(shè)服務(wù)商、專業(yè)的互聯(lián)網(wǎng)服務(wù)提供商! 專注于網(wǎng)站設(shè)計(jì)制作、網(wǎng)站設(shè)計(jì)、軟件開發(fā)、設(shè)計(jì)服務(wù)業(yè)務(wù)。我們始終堅(jiān)持以客戶需求為導(dǎo)向,結(jié)合用戶體驗(yàn)與視覺傳達(dá),提供有針對(duì)性的項(xiàng)目解決方案,提供專業(yè)性的建議,創(chuàng)新互聯(lián)建站將不斷地超越自我,追逐市場,引領(lǐng)市場!

據(jù)外媒消息,Spring官方日前在github上更新了一條可能導(dǎo)致命令執(zhí)行漏洞的修復(fù)代碼,該漏洞目前在互聯(lián)網(wǎng)中已被成功驗(yàn)證。研究機(jī)構(gòu)將該漏洞評(píng)價(jià)為高危級(jí)。對(duì)于應(yīng)用JDK版本號(hào)為9及以上的企業(yè),建議盡快開展Spring框架使用情況的排查與漏洞處置工作。

漏洞排查

(1) 如果業(yè)務(wù)系統(tǒng)項(xiàng)目以war包形式部署,按照如下步驟進(jìn)行判斷:

  • 解壓war包:將war文件的后綴修改成.zip ,解壓zip文件。
  • 在解壓縮目錄下搜索是否存在 spring-beans-*.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在則說明業(yè)務(wù)系統(tǒng)使用了spring框架進(jìn)行開發(fā)。
  • 如果spring-beans-*.jar 文件不存在,則在解壓縮目錄下搜索CachedIntrospectionResuLts.class 文件是否存在,如存在則說明業(yè)務(wù)系統(tǒng)使用了Spring框架開發(fā)。

(2) 如果業(yè)務(wù)系統(tǒng)項(xiàng)目以jar包形式直接獨(dú)立運(yùn)行,按照如下步驟進(jìn)行判斷:

  • 解壓jar包:將jar文件的后綴修改成.zip,解壓zip文件。
  • 在解壓縮目錄下搜索是否存在spring-beans-*.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在則說明業(yè)務(wù)系統(tǒng)使用了spring框架進(jìn)行開發(fā)。
  • 如果spring-beans-*.jar 文件不存在,則在解壓縮目錄下搜索CachedIntrospectionResuLts.class 文件是否存在,如存在則說明業(yè)務(wù)系統(tǒng)使用了spring框架進(jìn)行開發(fā)。

漏洞修復(fù)

目前,spring官方尚未正式發(fā)布漏洞補(bǔ)丁,安全專家建議采用以下二個(gè)臨時(shí)方案進(jìn)行防護(hù),并及時(shí)關(guān)注官方補(bǔ)丁發(fā)布情況。

(1) WAF防護(hù)

在WAF等網(wǎng)絡(luò)防護(hù)設(shè)備上,根據(jù)實(shí)際部署業(yè)務(wù)的流量情況,實(shí)現(xiàn)對(duì)“class.*”“Class.*”“*.class.*”“*.Class.*”等字符串的規(guī)則過濾,并在部暑過濾規(guī)則后,對(duì)業(yè)務(wù)運(yùn)行情況進(jìn)行測試,避免產(chǎn)生額外影響。

(2) 臨時(shí)修復(fù)措施

需同時(shí)按以下兩個(gè)步驟進(jìn)行漏澗的臨時(shí)修復(fù):

  • 在應(yīng)用中全局搜索@InitBinder注解,看看方法體內(nèi)是否調(diào)用dataBinder.setDisallowedFields方法,如果發(fā)現(xiàn)此代碼片段的引入,則在原來的黑名單中,添加{"class.*","Class. *","*. class.*", "*.Class.*"}。
  • 在應(yīng)用系統(tǒng)的項(xiàng)目包下新建以下全局類,并保證這個(gè)類被Spring 加載到(推薦在Controller 所在的包中添加).完成類添加后,需對(duì)項(xiàng)目進(jìn)行重新編譯打包和功能驗(yàn)證測試。并重新發(fā)布項(xiàng)目。
 import org.springframework.core.annotation.Order;

        import org.springframework.web.bind.WebDataBinder;

        import org.springframework.web.bind.annotation.ControllerAdvice;

        import org.springframework.web.bind.annotation.InitBinder;

        @ControllerAdvice

        @Order(10000)

        public class GlobalControllerAdvice{ 

             @InitBinder

             public void setAllowedFields(webdataBinder dataBinder){

             String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};

             dataBinder.setDisallowedFields(abd);

             }

        }

分享標(biāo)題:Log4j未平,Spring高危漏洞又起!
分享鏈接:http://www.dlmjj.cn/article/dpgsiei.html