共计 1007 个字符,预计需要花费 3 分钟才能阅读完成。
大家好,我是栈长。
最近技术栈真是醉了,Log4j2 的核弹级破绽刚告一段落,这个月初 Spring Cloud Gateway 又突发高危破绽,当初连最要命的 Spring 框架也失陷了。。。
栈长明天看到了一些平安机构公布的相干破绽通告,Spring 官网博客也公布了破绽申明:
破绽形容:
用户能够通过制作特制的 SpEl 表达式引发 DoS(拒绝服务)破绽。
SpEL 全称:Spring Expression Language,即:Spring 表达式语言。
这玩意平时应用不多,但在要害时候却很有用,比方咱们在 Bean 注入动静取参数的时候常常会遇到:
<bean id="user" class="cn.javastack.User">
<property name="country" value="#{systemProperties['user.country'] }"/>
...
</bean>或者基于注解的:
@Component
public class User
@Value("#{systemProperties['user.country']}")
private String country;
...
}当然,SpEL 的功能强大不止于此。
影响范畴:
- Spring 5.3.0 ~ 5.3.16
- 其余老版本、不受反对的版本也会受到影响
解决方案:
- 降级到最新版本:Spring Framework 5.3.17
- Spring Boot 用户降级到:2.5.11、2.6.5
很奇怪的是,在前几天的 Spring Boot 2.6.5 公布阐明中并没有阐明这个破绽,而且版本也早于破绽产生前公布,但却蕴含了破绽的修复,这是什么操作呢?
不论怎么样,大家连忙查看降级保平安吧!
最初,如果你想关注和学习最新、最支流的 Java 技术,能够继续关注公众号 Java 技术栈,公众号第一工夫推送。
参考:https://tanzu.vmware.com/secu…
版权申明: 本文系公众号 “Java 技术栈 ” 原创,原创实属不易,转载、援用本文内容请注明出处,剽窃者一律举报+投诉,并保留追究其法律责任的权力。
近期热文举荐:
1.1,000+ 道 Java 面试题及答案整顿 (2022 最新版)
2. 劲爆!Java 协程要来了。。。
3.Spring Boot 2.x 教程,太全了!
4. 别再写满屏的爆爆爆炸类了,试试装璜器模式,这才是优雅的形式!!
5.《Java 开发手册(嵩山版)》最新公布,速速下载!
感觉不错,别忘了顺手点赞 + 转发哦!
