我公司的 Sonatype 扫描显示,即使是最新版本(当前为 5.2.3.RELEASE),Spring-Web 也容易受到攻击。它说“发现安全漏洞 CVE-2016-1000027,严重性为 9.8”。我注意到 CVE-2016-1000027 已于 2020 年 1 月 2 日添加到 NATIONAL VULNERABILITY DATABASE 中,它是关于“如果用于不受信任数据的 Java 反序列化,Spring Framework 4.1.4 会遇到潜在的远程代码执行 (RCE) 问题” .这是一张过时的票还是4年后没有解决?
最佳答案
这个问题是从 Spring Framework 的角度解决的,see my latest comment summarizing the situation on that issue .只有在您使用 HTTPInvokerServiceExporter 时,您的应用程序才容易受到攻击。或 RemoteInvocationSerializingExporter并从不受信任的来源读取数据。
从不受信任的来源反序列化 Java 代码是 Java 中的一个众所周知的问题(因此,所有 Java 应用程序和框架!),并且在 future 的 Java 版本中可能会删除此功能。
鉴于此安全问题的性质(除了删除类之外,没有办法“修复”它,这将在 Spring Framework 的下一个主要版本中完成),联系您的供应商或您的安全团队是最好的行动方案。如果需要,Spring 团队很乐意通过提供有关该问题的更多上下文来帮助社区解决此问题。
关于spring - Sonatype 扫描显示 Spring-Web 易受攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60193808/