扫码关注我们
研究人员警告类似 log4shell 的Java漏洞(译文)

安全研究人员警告说,在一个流行的 Java 开发框架中出现了一个新的关键的远程代码执行错误,尽管有报道称它可能是下一个 Log4Shell,这可能有些夸大其词。


这个漏洞被社区中的一些人称为“ SpringShell”,它影响了 spring-core 构件,这是一个在 Java 应用程序中广泛使用的流行框架,特别是在 jdk9或更新的运行中。


Sonatype 解释说: “任何使用 Spring-core (Spring Framework 的核心部分)执行日志记录的人,以及任何使用 Spring 构建的软件的人都会受到这个漏洞的影响,Spring 是大量企业级 Java 软件。”。


“它源于以前在 Spring 中被利用的一个问题(CVE-2010-1622) ,过去曾经进行过修补,但在与 jdk9一起使用时又变得易受攻击。”


Sonatype 警告说,允许 Java 反射的 Spring 的旧版本经常暴露在 RCE 错误中,如下所示。最终,攻击者可以利用该漏洞毒害一个针对 Spring 应用程序的有效负载,并获得对系统的完全远程控制。


Praetorian 的另一篇博客文章说,在某些配置中,使用 SpringShell 是相当简单的,因为攻击者只需要向一个易受攻击的系统发送一个精心设计的 HTTP 请求。其他的信任可能需要更多的工作来了解哪些有效载荷是有效的,它补充说。


Spring 在规模上显然与 Struts 相似,后者是臭名昭著的 Equifax 黑客中使用的框架。Sonatype 表示,这个漏洞也让人想起去年12月发布的 Log4Shell 漏洞。


然而,一些专家对这个 bug 可能和 Log4j 实用程序中发现的 bug 一样危险的说法泼了冷水。


“还需要更多的细节,但目前的信息表明,为了利用这个漏洞,攻击者必须定位和识别实际使用 DeserializationUtils 的 web 应用程序实例,开发人员已经知道这是危险的。如果事实证明是真的,SpringShell 的影响力有可能被误解为比实际上更有影响力或更广泛。”。


“尽管有人可能会将 SpringShell 与 Log4Shell 进行比较,但它们在更深层次上并不相似。”


如果像早期迹象所显示的那样仅限于 jdk9实现,SpringShell 也将不如 Log4Shell 流行,该公司补充说。


Spring 开发人员现在正和网络犯罪社区争分夺秒,因为之前的工作是在一个武器化的漏洞出现之前赶紧发布一个补丁。


与此同时,Praetorian 列出了一些暂时的缓和措施。