笔记本电脑维修查询_硅基智慧

有关SpringBoot框架中SPEL表达式注入漏洞的安全公告

笔记本无法开机 漏洞补丁

安全公告号:CNTA-2016-0031

最近,国家信息安全漏洞共享平台(CNVD)在SpringBoot框架中包括了SPEL表达式注入漏洞(CNVD-2016-04742)。远程攻击者可以利用此漏洞在服务器端执行相关指令或代码,并且可以远程渗透和控制网站服务器。由于应用程序框架被广泛使用,因此构成了高度的安全威胁。

1.漏洞分析

Spring是一个轻量级的Java开发框架。SpringBoot是Spring的核心子项目。它的设计目的是简化新的Spring应用程序的初始构建和开发过程。

由于未严格过滤SpelView类中的精确匹配参数,因此SpringBoot框架会同时打开whitelabel页面以进行异常处理,这将导致SPEL执行被注入到异常请求中。当用户使用SpringBoot启动SpringMVC项目时,SpringBoot的默认异常模板将在处理异常信息时递归解析SPEL表达式,这可能导致SPEL表达式注入和执行。攻击者利用此漏洞通过SPEL在服务器端实现指令注入(执行代码)。

有关SpringBoot框架中SPEL表达式注入漏洞的安全公告

CNVD对漏洞的综合评价为“高风险”。

2,漏洞范围

该漏洞影响SpringBoot版本1.1-1.3.0。使用上述版本框架构建的网站可能会受到此漏洞的影响。

3.错误修复建议

当前,该漏洞的利用代码已在Internet上公开。最近,WOOYUN网站的提交者TangChaoLab也提交了有关此漏洞的详细说明,该说明将在90天内发布。制造商已经发布了一个升级程序来修复漏洞,CNVD建议用户将程序升级到SpringBoot1.3.1及更高版本。更新地址:

https://github.com/spring-projects/spring-boot/commit/edb16a13ee33e62b046730a47843cb5dc92054e6

标签:漏洞