Jef*_*eff 5 security spring spring-mvc owasp sonatype
我公司的 Sonatype 扫描显示 Spring-Web 即使是最新版本(目前是 5.2.3.RELEASE)也容易受到攻击。它说“发现安全漏洞 CVE-2016-1000027,严重性为 9.8”。我注意到 CVE-2016-1000027 已于 2020 年 1 月 2 日添加到 NATIONAL VULNERABILITY DATABASE 中,它是关于“如果用于不受信任数据的 Java 反序列化,Spring Framework 4.1.4 会遇到潜在的远程代码执行 (RCE) 问题” . 这是一张过时的票还是4年后没有解决?
Bri*_*zel 16
这个问题是从 Spring 框架的角度解决的,请参阅我最新的评论,总结了该问题的情况。仅当您使用HTTPInvokerServiceExporter或RemoteInvocationSerializingExporter读取来自不受信任来源的数据时,您的应用程序才容易受到攻击。
从不受信任的来源反序列化 Java 代码是 Java 中的一个众所周知的问题(因此,所有 Java 应用程序和框架!),并且此功能可能会在未来的 Java 版本中删除。
考虑到这个安全问题的性质(除了删除类之外,没有办法“修复它”,这将在 Spring Framework 的下一个主要版本中完成),联系您的供应商或安全团队是最好的做法。Spring 团队很乐意在需要时提供有关该问题的更多背景信息,从而帮助社区解决这个问题。
| 归档时间: |
|
| 查看次数: |
1562 次 |
| 最近记录: |