破绽简述
3 月 31 日,spring 官网通报了 Spring 相干框架存在近程代码执行破绽,并在 5.3.18 和 5.2.20.RELEASE 中修复了该破绽。
破绽评级:重大
影响组件:org.springframework:spring-beans
影响版本:< 5.3.18 和 < 5.2.20.RELEASE 的 Spring 框架均存在该破绽,倡议用户尽快进行排查处理。
缺点剖析
CVE-2010-1622 中曾呈现因为参数主动绑定机制导致的问题,此前通过黑名单的形式修复了该破绽,然而 JDK9 之后引入了 Module,使得能够通过 getModule 绕过前者的黑名单限度,最初导致近程代码执行。
如何疾速排查
墨菲平安提供了一系列检测工具,可能帮忙您疾速排查我的项目是否收到影响。
GitLab 全量代码检测
应用基于墨菲平安 CLI 的检测工具,疾速对您的 GitLab 上所有我的项目进行检测
工具地址:GitHub – murphysecurity/murphysec-gitlab-scanner
应用形式:
从我的项目地址拉取最新代码
执行命令:
python3 scan_all.py -A “your gitlab address” -T “your gitlab token” -t “your murphy token”
参数阐明:
-A:指定您的 GitLab 服务地址
-T:指定您的 GitLab 集体拜访令牌
-t:指定您的墨菲平安账户拜访令牌
阐明:检测仅产生在您的本地环境中,不会上传任何代码至服务端
墨菲平安开源 CLI 工具
应用 CLI 工具,在命令行检测指定目录代码的依赖平安问题
工具地址:https://github.com/murphysecu…
具体应用形式可参考我的项目 README 或官网文档
阐明:检测仅产生在您的本地环境中,不会上传任何代码至服务端
墨菲平安 IDE 插件
IDE 中即可检测代码依赖的平安问题,并通过精确的修复计划和一键修复性能,疾速解决平安问题。
应用形式:
IDE 插件中搜寻“murphysec”即可装置
抉择“点击开始扫描”,即可检测出代码中存在哪些平安缺点组件
以上几种检测形式均可在墨菲平安平台上查看具体的检测后果,并能够查看我的项目的间接或间接依赖信息。
参考链接
https://spring.io/blog/2022/0…
————————————————
版权申明:本文为 CSDN 博主「墨菲平安」的原创文章,遵循 CC 4.0 BY-SA 版权协定,转载请附上原文出处链接及本申明。
原文链接:https://blog.csdn.net/murphys…