Spring/Spring-Security是否受CVE-2022-21449影响?
是否存在CVE-2022-21449可能导致黑客/滥用的情况?
我在spring security和java的github repo上展示了这一点。安全性被广泛使用,但我不知道库中的使用如何导致安全缺陷。
共有1个答案
这不是Spring/Spring Security本身的漏洞。该漏洞存在于JVM本身。具体来说,它是ECDSA(椭圆曲线数字签名算法)签名的签名检查。
为了使这成为基于Spring的应用程序中的一个问题,应用程序需要依赖ECDSA验证来实现其安全的某些方面。签名验证的常见用途是当您的应用程序从不受信任的第三方获取代码并在安全沙盒中运行时。攻击者可以注入带有伪造签名的JAR。
另一种可能性是,如果您的应用程序或Spring本身出于某种目的使用ECDSA签名本身。
但你可以说这是没有意义的。如果您只是升级Spring应用程序正在使用的Java安装,那么您不需要深入研究它们是否(间接地)易受攻击。
-
CVE-2022-22963-Spring云函数漏洞是最近发现的,团队在这里提供了一个简单的修复程序:cve-report-发布-for-spring-cloud-函数 我们通过以下依赖项(我们的spring.boot.version是2.2.6)从spring cloud stream:3.0.4获取spring cloud函数上下文:3.0.6: spring cloud services启动
-
我们正在使用口水作为我们的业务规则。Drools是否受到CVE-2021-44228(Log4Shell或Log4J/Apache/Java漏洞)的影响/暴露
-
该版本现已分配给CVE-2022-22965。除了下面的好答案之外,请查看Spring Framework RCE:早期发布,因为它是本期最可靠和最新的网站。 根据不同的来源,我们在使用Spring Core库时似乎遇到了严重的安全问题。 https://securityboulevard.com/2022/03/new-spring4shell-zero-day-vulnerability-co
-
我用的是spring 5.3.16,spring boot 2.2.10.RELEASE,spring cloud 2.2.10.RELEASE用的是spring-cloud-网飞-zuul,那么,我可以只升级spring版本到5.3.18,而不升级其他框架吗?
-
如果当前请求是安全的,有没有办法“询问”Spring Security性?因为即使我通过了身份验证,我也要检测我是在受安全保护的URL中还是在匿名/公共页面中 提前感谢!
-
我们想将Spring boot升级到2.6.7以解决CVE-2022-22965。这需要spring-cloud 2021.0.1,其中包括spring-cloud-上下文3.1.1(最新版本)。这组模块会导致以下运行时错误: 此外,Spring Cloud上下文在Maven存储库中被标记为易受CVE-2022-22965,我们正在尝试修复。 忽略spring云上下文会导致以下错误: 应该使用哪个