发了一条关于Spring大漏洞的推文。白天有很多朋友问怎么删文章。主要是收到朋友提醒,发这个可能违规(原因可参考:阿里云因发现Log4j2核弹级漏洞被工信部处罚但未通过及时报告),所以我删除了它。过了一天,这件事似乎变得有些不可理喻了。那么就来说说网上的这个Spring大漏洞吧。这个漏洞话题的起点来自于3月29日晚,当时DD在群里(点击加群)看到有网友分享几位安全专家爆料Java生态存在超大漏洞.但两位大佬都没有透露更详细的漏洞信息。只有网友问:“和log4j一样大吗?”。云舒大哥的回答是:“大”。之后又来了一个保安大佬,sunwear(那个因为上海银行工作人员服务态度差,直接拿了500万现金的,不知道具体情况的可以google一下,DD不会的gointodetailshere)提供了一些更详细的信息:因此可以将漏洞的影响范围缩小到使用Java9+和Spring的项目。这时候,有网友根据之前的log4j漏洞信息开始调侃:其实很多小伙伴已经松了一口气,因为国内大部分地方还在用Java8。DD对此深有体会,因为每次Java出新版本,总有朋友反馈不升级了,版本你贴吧。我用的是Java8,反正睡不着,DD就想着继续搜索相关资料。然后DD发现最近有Spring官方提交:从提交信息来看,解决了某个RCE漏洞问题。那么,大概就是这样?感兴趣的朋友,可以通过下方链接查看具体信息。https://github.com/spring-pro...后来看到一些专业的网络安全频道发布了修复方法。但没过多久,很多账号的内容就被统一了,具体是什么原因就不清楚了。之后是3月30日白天,各种营销号开始炒作这个问题。废话有两种:一种是张冠李戴,以前的一些漏洞,这次说是大漏洞,因为标题就够了。人啊,这么多人关注了,然后在群里讨论。比如有的说是SpringCloudGateway,其实是3月1日公布的漏洞,也有的说是最近的两个,但是仔细看就会发现发现它们似乎无关紧要,漏洞级别也不高。还有一种网络钓鱼。因为自称有较大漏洞,发布了一些非官方的修复包,实际上是恶意代码,引诱大家使用。所以在这里DD提醒大家,遇到安全问题一定要看官方资料,而不是随便搜一篇文章就下手。包括DD分享的内容,也会放出官方信息链接,供大家核实和处理。回到这次网上发布的漏洞信息,其实从29日晚上开始,大家就一直在关注Spring的官方信息。然而白天等来的却是这篇博文:这里指出的CVE-2022-22963和网上公布的漏洞信息差别很大,级别不像大佬说的log4j比肩的漏洞前。那么,回到前面提到的关于RCE的PR。可以看到这里的内容已经更新了:有网友问:CVE什么时候上报?@ledoyen回复:这本身不是CVE。使用此工具处理用户输入数据可能会导致CVE,但在内部像CacheResultInterceptor一样使用时,不会导致CVE。@sbrannen最后给出了结论:这不是Spring核心框架中的CVE。此更改的目的是告知以前使用SerializationUtils反序列化的人,从不受信任的来源反序列化对象是危险的。并且Spring核心框架不使用SerializationUtils来反序列化来自不受信任来源的对象。如果您认为您发现了安全问题,请通过专用页面报告:https://spring.io/security-po…。那么,这个看似解决互联网大漏洞的PR,不是一回事吗?回去看了云舒爆料漏洞的微博。之前的帖子已经不存在了。那么这个所谓的大漏洞到底跑到哪里去了呢?DD猜不出来了,他也不瞎猜,毕竟安全漏洞是很严重的事情。综上,因为这个漏洞,群里(点击加群)一直有小伙伴在问,所以,根据目前对DD的了解,总结几点供大家注意:Spring官方报告的漏洞并没有那么严重,根据报告给出的升级版本可以解决。Spring官方报告的漏洞可能与网上流传的大漏洞无关。一些现有的营销账户文章存在下载风险。每个人都应该关注他们并密切关注他们。如果有进一步的消息,DD会继续为大家同步分析。如果你目前想学习Spring全家桶或者关注Spring相关的前沿资讯,欢迎关注我的公众号程序员DD,或者我的个人博客,分享所有关于Spring的干货很久。欢迎来到我的公众号:程序员DD。第一时间了解行业前沿资讯,分享深度技术干货,获取优质学习资源
