Log4j未平,Spring高危漏洞又起!迫切需要提升企业开源软件治理能力

2022年3月28日,Spring官方发布了一则消息,暴露Spring核心框架具有Dos漏洞:CVE-2022-22950。


Spring在Java中的地位超然,该漏洞会影响到几乎所有的Spring系列组件,例如常见的SpringBoot和SpringCloud等,并且spring系列组建被广泛运用与业务系统开发,覆盖面极广。


同时,该漏洞是一种潜在的漏洞,但是利用该漏洞进行该攻击服务的手段的门槛较高,需要利用可控可执行的SPEl(SpringExpressionLanguage,Spring表达式语言)。

三月初,spring官方爆出springcloudgateway漏洞,其修复方式就是利用了SimpleEvaluationContext,但是SimpleEvaluationContext并不就一定安全,只要SPEL可控,那么就会有Dos漏洞

例子如下:

从上可以发现,SPEL可控还是会导致OOM并耗尽CPU以实现拒绝服务。

修复方式

临时修复措施:需要同时按照以下2个步骤进行漏洞的临时修复:

1.在应用中全局搜索@InitBinder注解(该注解用于注册类型绑定器,对spring的参数绑定进行增强)。看看方法体内是否调用dataBinder.setDisallowedPields方法,如果发现此代码片段的引入,则在原来的黑名单中,添加{"class.*","Class.*","*.class.*","*.Class.*"}(注:如果此代码片段使用较多,需要每个地方都加上)2.在应用系统的项目包下新建以下全局类,并保证这个类被Spring加载到(推荐在Controller所在的包中添加)。完成类添加后,需对项目进行重新编译打包和功能验证测试,并重新发布项目。

Spring官方修复建议:1.springframework升级到最新发布的SpringFramework5.3.172.SpringBoot用户应升级到2.5.11或2.6.5。

我们从容应对

该项漏洞目前还未发布到NVD网站上,谐云DevOps可信源产品,通过漏洞的自行建立,可信源库和漏洞库建立起对Java代码依赖包的管理,可从容应对紧急发布的CVE-2022-22950漏洞。

谐云DevOps可信源产品对去年底爆出的Apache Log4j2高危漏洞应对详情可点击该链接了解详情:Apache Log4j2高危漏洞

产品介绍

谐云DevOps平台是面向软件研发团队的一站式研发协作管理平台,提供从需求到设计、开发、构建、测试、发布到部署的全流程协同及研发工具支撑。全面满足企业研发管理与工程效率等需求,一站式提高管理效率和软件研发质量,助力团队快速实践敏捷开发与 DevOps,提升软件交付质量与速度,助推企业数智化转型升级。

可信源管理从项目持续集成、发版门禁源头堵截高危漏洞上线,维护应用依赖版本库,当发现漏洞后可以直接创建工单针对性修复。平台支持定期从中央漏洞库拉取漏洞,在流水线运行过程中对使用到的依赖包做扫描校验,在申请发布前的对发布版本做扫描拦截,扫描范围包括漏洞、基线、可信源匹配,可信源冲突、门禁。在代码合并前经过多人审批,并设置分支保护权限,从而规避相应风险,提高安全等级。

建立漏洞库

定期从中央漏洞库(NVD)拉取漏洞导入系统,支持全量同步、增量同步和手动同步。在收到漏洞后可以进行漏洞影响分析,查看漏洞的关联应用血缘和可信源血缘,并发送预警通知。

但是对于还未在NVD发布的漏洞,我们可以实行紧急措施,自行建立该漏洞,并手动关联,在后续NVD发布漏洞后会自动进行合并。

漏洞血缘关系,火眼金睛让高危项目无处遁形

通过漏洞紧急建立以后,就可以立即的看出所有被漏洞所设计到的引用依赖。

也可以通过规则检查寻找到所有已发布并涉及到该漏洞的项目,以及每个项目都引用了哪些依赖。


你可能感兴趣的:(Log4j未平,Spring高危漏洞又起!迫切需要提升企业开源软件治理能力)