日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Log4j未平,Spring高危漏洞又起!

Spring是Java EE編程領(lǐng)域的一個熱門開源框架,該框架在2002年創(chuàng)建,是為了解決企業(yè)級編程開發(fā)中的復(fù)雜性,業(yè)務(wù)邏輯層和其他各層的松耦合問題,因此它將面向接口的編程思想貫穿整個系統(tǒng)應(yīng)用,實現(xiàn)敏捷開發(fā)的應(yīng)用型框架。目前,Spring 框架已被包括科技巨頭公司在內(nèi)的大量企業(yè)廣泛采用,還包括一些“無服務(wù)器”(serverless)服務(wù)提供商。

“專業(yè)、務(wù)實、高效、創(chuàng)新、把客戶的事當(dāng)成自己的事”是我們每一個人一直以來堅持追求的企業(yè)文化。 成都創(chuàng)新互聯(lián)公司是您可以信賴的網(wǎng)站建設(shè)服務(wù)商、專業(yè)的互聯(lián)網(wǎng)服務(wù)提供商! 專注于網(wǎng)站設(shè)計制作、網(wǎng)站設(shè)計、軟件開發(fā)、設(shè)計服務(wù)業(yè)務(wù)。我們始終堅持以客戶需求為導(dǎo)向,結(jié)合用戶體驗與視覺傳達(dá),提供有針對性的項目解決方案,提供專業(yè)性的建議,創(chuàng)新互聯(lián)建站將不斷地超越自我,追逐市場,引領(lǐng)市場!

據(jù)外媒消息,Spring官方日前在github上更新了一條可能導(dǎo)致命令執(zhí)行漏洞的修復(fù)代碼,該漏洞目前在互聯(lián)網(wǎng)中已被成功驗證。研究機(jī)構(gòu)將該漏洞評價為高危級。對于應(yīng)用JDK版本號為9及以上的企業(yè),建議盡快開展Spring框架使用情況的排查與漏洞處置工作。

漏洞排查

(1) 如果業(yè)務(wù)系統(tǒng)項目以war包形式部署,按照如下步驟進(jìn)行判斷:

  • 解壓war包:將war文件的后綴修改成.zip ,解壓zip文件。
  • 在解壓縮目錄下搜索是否存在 spring-beans-*.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在則說明業(yè)務(wù)系統(tǒng)使用了spring框架進(jìn)行開發(fā)。
  • 如果spring-beans-*.jar 文件不存在,則在解壓縮目錄下搜索CachedIntrospectionResuLts.class 文件是否存在,如存在則說明業(yè)務(wù)系統(tǒng)使用了Spring框架開發(fā)。

(2) 如果業(yè)務(wù)系統(tǒng)項目以jar包形式直接獨(dú)立運(yùn)行,按照如下步驟進(jìn)行判斷:

  • 解壓jar包:將jar文件的后綴修改成.zip,解壓zip文件。
  • 在解壓縮目錄下搜索是否存在spring-beans-*.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在則說明業(yè)務(wù)系統(tǒng)使用了spring框架進(jìn)行開發(fā)。
  • 如果spring-beans-*.jar 文件不存在,則在解壓縮目錄下搜索CachedIntrospectionResuLts.class 文件是否存在,如存在則說明業(yè)務(wù)系統(tǒng)使用了spring框架進(jìn)行開發(fā)。

漏洞修復(fù)

目前,spring官方尚未正式發(fā)布漏洞補(bǔ)丁,安全專家建議采用以下二個臨時方案進(jìn)行防護(hù),并及時關(guān)注官方補(bǔ)丁發(fā)布情況。

(1) WAF防護(hù)

在WAF等網(wǎng)絡(luò)防護(hù)設(shè)備上,根據(jù)實際部署業(yè)務(wù)的流量情況,實現(xiàn)對“class.*”“Class.*”“*.class.*”“*.Class.*”等字符串的規(guī)則過濾,并在部暑過濾規(guī)則后,對業(yè)務(wù)運(yùn)行情況進(jìn)行測試,避免產(chǎn)生額外影響。

(2) 臨時修復(fù)措施

需同時按以下兩個步驟進(jìn)行漏澗的臨時修復(fù):

  • 在應(yīng)用中全局搜索@InitBinder注解,看看方法體內(nèi)是否調(diào)用dataBinder.setDisallowedFields方法,如果發(fā)現(xiàn)此代碼片段的引入,則在原來的黑名單中,添加{"class.*","Class. *","*. class.*", "*.Class.*"}。
  • 在應(yīng)用系統(tǒng)的項目包下新建以下全局類,并保證這個類被Spring 加載到(推薦在Controller 所在的包中添加).完成類添加后,需對項目進(jìn)行重新編譯打包和功能驗證測試。并重新發(fā)布項目。
 import org.springframework.core.annotation.Order;

        import org.springframework.web.bind.WebDataBinder;

        import org.springframework.web.bind.annotation.ControllerAdvice;

        import org.springframework.web.bind.annotation.InitBinder;

        @ControllerAdvice

        @Order(10000)

        public class GlobalControllerAdvice{ 

             @InitBinder

             public void setAllowedFields(webdataBinder dataBinder){

             String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};

             dataBinder.setDisallowedFields(abd);

             }

        }

文章名稱:Log4j未平,Spring高危漏洞又起!
本文鏈接:http://www.5511xx.com/article/dpgsiei.html