关于安全:Spring-新版本修复远程命令执行漏洞CVE202222965墨菲安全开源工具可应急排查

破绽简述

3月31日，spring 官网通报了 Spring 相干框架存在近程代码执行破绽，并在 5.3.18 和 5.2.20.RELEASE 中修复了该破绽。

破绽评级：重大

影响组件：org.springframework:spring-beans

影响版本：< 5.3.18 和 < 5.2.20.RELEASE 的Spring框架均存在该破绽，倡议用户尽快进行排查处理。

缺点剖析

CVE-2010-1622中曾呈现因为参数主动绑定机制导致的问题， 此前通过黑名单的形式修复了该破绽，然而 JDK9之后引入了 Module，使得能够通过 getModule 绕过前者的黑名单限度，最初导致近程代码执行。

如何疾速排查

墨菲平安提供了一系列检测工具，可能帮忙您疾速排查我的项目是否收到影响。

GitLab全量代码检测

应用基于墨菲平安CLI的检测工具，疾速对您的GitLab上所有我的项目进行检测

工具地址：GitHub - murphysecurity/murphysec-gitlab-scanner
应用形式：
从我的项目地址拉取最新代码
执行命令：

python3 scan_all.py -A "your gitlab address" -T "your gitlab token" -t "your murphy token"
参数阐明：
-A：指定您的GitLab服务地址
-T：指定您的GitLab集体拜访令牌
-t：指定您的墨菲平安账户拜访令牌
阐明：检测仅产生在您的本地环境中，不会上传任何代码至服务端

墨菲平安开源CLI工具

应用CLI工具，在命令行检测指定目录代码的依赖平安问题

工具地址：https://github.com/murphysecu...
具体应用形式可参考我的项目 README 或官网文档

阐明：检测仅产生在您的本地环境中，不会上传任何代码至服务端

墨菲平安IDE插件
IDE 中即可检测代码依赖的平安问题，并通过精确的修复计划和一键修复性能，疾速解决平安问题。

应用形式：

IDE插件中搜寻“murphysec”即可装置
抉择“点击开始扫描”，即可检测出代码中存在哪些平安缺点组件

以上几种检测形式均可在墨菲平安平台上查看具体的检测后果，并能够查看我的项目的间接或间接依赖信息。

参考链接

https://spring.io/blog/2022/0...
————————————————
版权申明：本文为CSDN博主「墨菲平安」的原创文章，遵循CC 4.0 BY-SA版权协定，转载请附上原文出处链接及本申明。
原文链接：https://blog.csdn.net/murphys...