Spring爆出比Log4j2还大的漏洞?
The following article is from 沉默王二 Author 沉默王二
粉丝福利:小编会从今天留言中抽选幸运小伙伴赠送现金红包,感谢大家一直以来的支持!文末见喽!
大家好,我是二哥呀!最近正愁着没有技术的瓜可以吃呢,这不,Spring 就心领神会地贡献了一波。
上图是云舒大佬发的微博,有吃瓜群众就问:“这个瓜有 log4j2 那么好吃吗?”
云舒大佬回复说:“绝壁更好吃😋”。
看到这,我就很心满意足了,我想这下 Spring 的 GitHub 仓库上肯定会有 issue 来详细阐述这个瓜是怎么生产的,又是怎么解决的。
结果愣是没找到,只在 close 的 issue 里出现了一则 RCE 0 Day #28248
,打开看了一下,很失望,完全不是我想要的瓜。
于是我就琢磨着,是不是云舒大佬夸大其词了呢?Google 搜了一下“Spring 漏洞”的关键词,证实云舒大佬所言非虚。
尤其是第一条,里面明确了,确实 Spring 框架曝出 RCE 0day漏洞,并且已经证实是由于 SerializationUtils#deserialize
基于 Java 的序列化机制引发的。
考虑到Spring框架的广泛应用,FreeBuf(网络安全行业的一家媒体平台)对漏洞评级为:危险。
不过漏洞的解决方案,倒是令我大吃一惊!
只要 JDK 版本小于等于 8,就不受影响,真的是一下子就冷静了下来。我还特意跑去我们编程喵的服务器上执行了一下 java -version
命令,很明确“它生任它生,我用 Java8”是永恒的真理!
这下,Java 18 该说,“你礼貌吗?”记得我上次发朋友圈说 Java 18 发布了,很多小伙伴都纷纷表示,Java 8 还没有玩够呢,甚至有些公司还停留在 Java 6,那这次 Spring 的漏洞简直就是完美避过。
可以明确的是,Spring 这次漏洞和 Log4j2 那次相比,只能说是小巫见大巫,不一个重量级哈。
反正我这次是真的想吃瓜,想通过吃瓜的方式学点技术,可惜就学到了 java -version
。我只能说,这次的 Spring 的漏洞再次提醒我们:“千万不要随意升级 JDK 版本啊”!
Java 8 用一辈子的小伙伴可以在评论区里庆幸一下了,又一次完美避开。
- END -
- END -
文章精选1、小学生们在B站讲算法,网友:我只会阿巴阿巴2、用了这些工具,你就是最快的那个!3、微软电脑管家新版发布 真不是山寨!4、这极品插件真刺激啊,你早该下载了!5、咱就是说,一不小心节约了 591 台机器!6、再放狠话!美商务部长:中企如向俄提供芯片,就制裁到关门7、1个顶10个,推荐几款爽到爆的在线网站!
8、因屏蔽广告被视频巨头起诉,小众浏览器宣布破产停运,火狐竟然也出骚操作...
8、因屏蔽广告被视频巨头起诉,小众浏览器宣布破产停运,火狐竟然也出骚操作...