关于安全:Spring-新版本修复远程命令执行漏洞CVE202222965墨菲安全开源工具可应急排查

60次阅读

共计 1048 个字符,预计需要花费 3 分钟才能阅读完成。

破绽简述

3 月 31 日,spring 官网通报了 Spring 相干框架存在近程代码执行破绽,并在 5.3.18 和 5.2.20.RELEASE 中修复了该破绽。

破绽评级:重大

影响组件:org.springframework:spring-beans

影响版本:< 5.3.18 和 < 5.2.20.RELEASE 的 Spring 框架均存在该破绽,倡议用户尽快进行排查处理。

缺点剖析

CVE-2010-1622 中曾呈现因为参数主动绑定机制导致的问题,此前通过黑名单的形式修复了该破绽,然而 JDK9 之后引入了 Module,使得能够通过 getModule 绕过前者的黑名单限度,最初导致近程代码执行。

如何疾速排查

墨菲平安提供了一系列检测工具,可能帮忙您疾速排查我的项目是否收到影响。

GitLab 全量代码检测

应用基于墨菲平安 CLI 的检测工具,疾速对您的 GitLab 上所有我的项目进行检测

工具地址:GitHub – murphysecurity/murphysec-gitlab-scanner
应用形式:
从我的项目地址拉取最新代码
执行命令:

python3 scan_all.py -A “your gitlab address” -T “your gitlab token” -t “your murphy token”
参数阐明:
-A:指定您的 GitLab 服务地址
-T:指定您的 GitLab 集体拜访令牌
-t:指定您的墨菲平安账户拜访令牌
阐明:检测仅产生在您的本地环境中,不会上传任何代码至服务端

墨菲平安开源 CLI 工具

应用 CLI 工具,在命令行检测指定目录代码的依赖平安问题

工具地址:https://github.com/murphysecu…
具体应用形式可参考我的项目 README 或官网文档

阐明:检测仅产生在您的本地环境中,不会上传任何代码至服务端

墨菲平安 IDE 插件
IDE 中即可检测代码依赖的平安问题,并通过精确的修复计划和一键修复性能,疾速解决平安问题。

应用形式:

IDE 插件中搜寻“murphysec”即可装置
抉择“点击开始扫描”,即可检测出代码中存在哪些平安缺点组件

以上几种检测形式均可在墨菲平安平台上查看具体的检测后果,并能够查看我的项目的间接或间接依赖信息。

参考链接

https://spring.io/blog/2022/0…
————————————————
版权申明:本文为 CSDN 博主「墨菲平安」的原创文章,遵循 CC 4.0 BY-SA 版权协定,转载请附上原文出处链接及本申明。
原文链接:https://blog.csdn.net/murphys…

正文完
 0