螞蟻集團上報 Spring 框架「高危」漏洞,現已修復
4 月 2 日訊息,2022 年 3 月 30 日,國家資訊保安漏洞共享平臺(CNVD)收錄了 Spring 框架遠端命令執行漏洞(CNVD-2022-23942)。併發布了關於 Spring 框架存在遠端命令執行漏洞的安全公告,安全公告編號:CNTA-2022-0009。
下面是公告內容:
2022 年 3 月 30 日,國家資訊保安漏洞共享平臺(CNVD)收錄了 Spring 框架遠端命令執行漏洞(CNVD-2022-23942)。攻擊者利用該漏洞,可在未授權的情況下遠端執行命令。目前,漏洞利用細節已大範圍公開,Spring 官方已釋出補丁修復該漏洞。CNVD 建議受影響的單位和使用者立即更新至最新版本。
一、漏洞情況分析
Spring 框架(Framework)是一個開源的輕量級 J2EE 應用程式開發框架,提供了 IOC、AOP 及 MVC 等功能,解決了程式人員在開發中遇到的常見問題,提高了應用程式開發便捷度和軟體系統構建效率。
2022 年 3 月 30 日,CNVD 平臺接收到螞蟻科技集團股份有限公司報送的 Spring 框架遠端命令執行漏洞。由於 Spring 框架存在處理流程缺陷,攻擊者可在遠端條件下,實現對目標主機的後門檔案寫入和配置修改,繼而通過後門檔案訪問獲得目標主機許可權。使用 Spring 框架或衍生框架構建網站等應用,且同時使用 JDK 版本在 9 及以上版本的,易受此漏洞攻擊影響。
CNVD 對該漏洞的綜合評級為“高危”。
二、漏洞影響範圍
漏洞影響的產品版本包括:
版本低於 5.3.18 和 5.2.20 的 Spring 框架或其衍生框架構建的網站或應用。
三、漏洞處置建議
目前,Spring 官方已釋出新版本完成漏洞修復,CNVD 建議受漏洞影響的產品(服務)廠商和資訊系統運營者儘快進行自查,並及時升級至最新版本:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
附:參考連結:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://github.com/spring-projects/spring-framework/compare/v5.3.17...v5.3.18