【天问】新增Spring Framework 远程代码执行漏洞纯离线一键排查解决方案
/ / 点击 / 阅读耗时 8 分钟2022年04月01日,天问平台新增推出了Spring Framework 远程代码执行漏洞纯离线检测工具:“天蚕3.0-Spring漏洞离线专查版”。该专查工具所有分析检测过程全部在被测主机上离线完成,不需要将任何信息回传服务器,解决了敏感信息泄露的担忧。
工具信息
工具SHA1:【eda65a95b0b5ae1ddc36c85210631706ac1cafe2】
工具版本: 1.0.0
下载链接:springfind-1.0.0.tgz【若已登录天问可直接点击下载】
天问登录/注册
访问(天问平台),点击右上角登录平台,未注册账号的用户利用邀请码“66f6c4d2838cf5eb0b73ef58e1836cc6”注册平台账号,登录之后点击“软件测试”功能菜单,即可下载离线专查工具。
2022年04月1日,奇安信天问平台推出业界首个Spring Framework 远程代码执行漏洞一键排查解决方案,支持在线和离线两种检测模式,帮助广大用户快速判断自身在用软件系统是否受该漏洞影响。
漏洞描述
近日Spring Framework 发现存在远程代码执行漏洞,由于历史漏洞修复代码存在缺陷,在 JDK 9 及以上版本环境下,远程攻击者可借助某些中间件构造数据包修改日志文件,从而实现远程代码执行。该漏洞影响 Spring Framework 下的众多组件,漏洞影响面大,危害性高,建议客户尽快自查在用软件系统是否受影响,采取措施防护此漏洞。
影响范围
Spring Framework 5.3.X < 5.3.18\
Spring Framework 5.2.X < 5.2.20\
注:其他小版本未更新均受影响
修复方案
(1)在应用中全局搜索@InitBinder 注解,着看方法体内是否调用dataBinder.setDisallowedFields 方法,如果发现此代码片段的引入,则在原来的黑名单中添加 { “ class.module.*”}。
(2)在应用系统的项目包下新建以下全局类,并保证这个类被 Spring 加载到(推荐在 Controller 所在的包中添加),完成类添加后,需对项目进行重新编译打包和功能验证测试,并重新发布项目。
如何利用天问进行排查
奇安信天问软件供应链安全分析系统是奇安信技术研究院自研的,集二进制软件分析、软件空间测绘、软件生态监测于一体的软件供应链安全分析系统。天问系统拥有总量超过2000万的软件空间测绘数据库,支持静态依赖、动态依赖、释放生成等数千万依赖关系;支持PE、ELF、JAR等十余种主流二进制格式文件的软件成分分析;广泛支持桌面软件、系统软件、安卓APP、安卓ROM镜像、PyPI包、NodeJS包等不同类型软件的软件空间测绘;支持Windows、Linux、Android等主流系统平台的软件供应链安全分析。
目前,奇安信天问软件供应链安全分析系统已全面支持Spring Framework 远程代码执行漏洞的检测。不同于其他通过网络扫描进行Spring Framework 远程代码执行漏洞检测的工具,天问平台通过扫描待测软件的可执行代码,利用二进制程序分析技术,识别程序中是否使用了Spring Framework组件,或者是包含了Spring Framework相关的代码,若发现程序中存在Spring Framework组件,则进一步通过代码特征匹配技术,识别其中Spring Framework组件的具体版本,再结合软件漏洞知识库,判断该Spring Framework组件是否受远程代码执行漏洞的影响。因此,天问平台的检测结果更可靠,也没有远程探测可能导致的实际触发漏洞的风险。
对于在线检测,用户可以访问天问平台(https://tianwen.qianxin.com),点击右上角登录平台,未注册账号的用户利用邀请码“66f6c4d2838cf5eb0b73ef58e1836cc6”注册平台账号,登录之后点击“软件测试”功能菜单,将待测软件打包上传到天问平台,耐心等待平台分析完毕,即可查看详细的检测结果,检查待测软件是否受漏洞影响。
此外,对于有需要的用户,天问平台还提供离线分析工具,可以使用工具离线分析待测软件生成分析日志,然后将分析日志上传到天问平台查询待测软件的检测结果。
