Spring4Shell-CVE-2022-22965如果使用Java 8,应用程序是否易受攻击?[副本]
如果使用Java 8,我的系统是否会受到spring4shell漏洞的影响?
配置
java 8
Spring version : 3.1.3.RELEASE
Packaged as executable WAR
Deployed on tomcat server
共有2个答案
目前可用的漏洞利用或POC适用于此配置
- JDK 9或更高版本
- 将Apache Tomcat作为servlet容器
- 被包装成传统的WAR
- 使用spring-webmvc或spring-web通量依赖项
- 使用Spring框架版本5.3.05.3.17, 5.2.0到5.2.19,或更早版本
所以来到你的问题,你检查了4个中的3个,所以目前没有...但是正如研究人员引用的那样,其他配置也可能是可利用的,因为有人可能会找到一种利用的方法,所以现在最好开始将Spring版本升级到最新版本。
没有,正如在Java 8中一样,您没有用于攻击此漏洞的方法(以及稍后的方法)。
在此处阅读更多信息https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#am-i-受影响
-
NVD报告PostgreSQL JDBC驱动程序存在具有高严重性(7.7)的XXE漏洞,请参见https://nvd.nist.gov/vuln/detail/CVE-2020-13692.此类漏洞与解析XML中的外部实体有关。 不过,我无法在PostgreSQL JDBC驱动程序中找到有关如何实际使用受感染的XML文件来利用此漏洞的信息。是当应用程序尝试将XML文件存储在数据库中时吗?是否有被解
-
该版本现已分配给CVE-2022-22965。除了下面的好答案之外,请查看Spring Framework RCE:早期发布,因为它是本期最可靠和最新的网站。 根据不同的来源,我们在使用Spring Core库时似乎遇到了严重的安全问题。 https://securityboulevard.com/2022/03/new-spring4shell-zero-day-vulnerability-co
-
是否存在CVE-2022-21449可能导致黑客/滥用的情况? 我在spring security和java的github repo上展示了这一点。安全性被广泛使用,但我不知道库中的使用如何导致安全缺陷。
-
我有这样一个类,它扩展了一个实现CustomTaskChange的类。由于一些类属性(如列名和类型)是通过XML文件传递给它的,所以我需要进行字符串级联。我确实使用PreparedStatement,但我想知道我是否仍然因为它而容易受到SQL注入的攻击,如果是这样的话,我该如何使它安全呢?XML是一个Liquibase变更集(我将在下面留下一个示例)。
-
我的Java应用程序使用kerberos对Windows Active Directory KDC进行身份验证,它使用RC4-HMAC进行krb5配置文件中的、、。 通过将RC4-HMAC替换为es128-cts-hmac-sha1-96,应用程序给出了以下状态代码14的KrbException。 消息:KDC不支持加密类型javax.security.auth.login。FailedLogin
-
我用的是spring 5.3.16,spring boot 2.2.10.RELEASE,spring cloud 2.2.10.RELEASE用的是spring-cloud-网飞-zuul,那么,我可以只升级spring版本到5.3.18,而不升级其他框架吗?