Spring爆出比Log4j2还大的漏洞？

程序员零距离 2022-11-01

The following article is from 沉默王二 Author 沉默王二

（给程序员零距离加星标，了解项目开发.）

粉丝福利：小编会从今天留言中抽选幸运小伙伴赠送现金红包，感谢大家一直以来的支持！文末见喽！

大家好，我是二哥呀！最近正愁着没有技术的瓜可以吃呢，这不，Spring 就心领神会地贡献了一波。

上图是云舒大佬发的微博，有吃瓜群众就问：“这个瓜有 log4j2 那么好吃吗？”

云舒大佬回复说：“绝壁更好吃😋”。

看到这，我就很心满意足了，我想这下 Spring 的 GitHub 仓库上肯定会有 issue 来详细阐述这个瓜是怎么生产的，又是怎么解决的。

结果愣是没找到，只在 close 的 issue 里出现了一则 RCE 0 Day #28248，打开看了一下，很失望，完全不是我想要的瓜。

于是我就琢磨着，是不是云舒大佬夸大其词了呢？Google 搜了一下“Spring 漏洞”的关键词，证实云舒大佬所言非虚。

尤其是第一条，里面明确了，确实 Spring 框架曝出 RCE 0day漏洞，并且已经证实是由于 SerializationUtils#deserialize 基于 Java 的序列化机制引发的。

考虑到Spring框架的广泛应用，FreeBuf（网络安全行业的一家媒体平台）对漏洞评级为：危险。

不过漏洞的解决方案，倒是令我大吃一惊！

只要 JDK 版本小于等于 8，就不受影响，真的是一下子就冷静了下来。我还特意跑去我们编程喵的服务器上执行了一下 java -version 命令，很明确“它生任它生，我用 Java8”是永恒的真理！

这下，Java 18 该说，“你礼貌吗？”记得我上次发朋友圈说 Java 18 发布了，很多小伙伴都纷纷表示，Java 8 还没有玩够呢，甚至有些公司还停留在 Java 6，那这次 Spring 的漏洞简直就是完美避过。

可以明确的是，Spring 这次漏洞和 Log4j2 那次相比，只能说是小巫见大巫，不一个重量级哈。

反正我这次是真的想吃瓜，想通过吃瓜的方式学点技术，可惜就学到了 java -version。我只能说，这次的 Spring 的漏洞再次提醒我们：“千万不要随意升级 JDK 版本啊”！

Java 8 用一辈子的小伙伴可以在评论区里庆幸一下了，又一次完美避开。