Mic*_*ael 5 serialization spring deserialization
昨天宣布了反序列化漏洞(CVE-2015-4852):
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
SpringFramework使用commons.collections.
如果SpringFramework使用InvokerTransformer,它可能容易受到反序列化漏洞(CVE-2015-4852)的攻击.
问题是SpringFramework使用来自commons.collections的InvokerTransformer?
3.更新:这是 J\xc3\xbcrgen H\xc3\xb6ller\ 对我的Jira 问题的回答:
\n\n\nSpring框架不以任何方式使用Commons Collections。如果您的类路径中有它,则它可能位于您选择的另一个依赖项之后,例如 OpenJPA。
\n\n也就是说,我们在 SPR-13656 中确实存在一个相关问题,\n 我们一直在修复我们的一个类,以防止在此类情况下被误用。\n 请注意,这仅在您公开基于序列化的情况下才重要\ n 到不可信客户端的端点。默认情况下,Spring 不进行任何此类暴露;相反,您的应用程序通过使用 HTTP Invoker 或 RMI Invoker 显式选择加入。
\n\n于尔根
\n
2. 更新:Spring Framework 版本 4.2.3 和 4.1.9不易受到相关问题的影响。
\n\n我搜索了该spring-framework项目,到目前为止没有发现任何用途org.apache.commons.collections.(Transformer|InvokerTransformer|MapTransformer)。\n这并不意味着某些 Spring 子项目使用了InvokerTransformer.
快速搜索jira.spring.io目前没有发现任何问题:
https://jira.spring.io/issues/?jql=text%20~%20%22invoketransformer%22
\n\nhttps://jira.spring.io/issues/?jql=text%20~%20%22CVE-2015-4852%22
\n\n也许 Pivotal 的官员可以澄清这一点。
\n\n更新:我提交了Jira 问题。
| 归档时间: |
|
| 查看次数: |
1272 次 |
| 最近记录: |