昨天宣布了有关反序列化漏洞(CVE-2015-4852)的信息:
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
SpringFramework使用commons.collections。
如果SpringFramework使用InvokerTransformer,则可能容易受到反序列化漏洞(CVE-2015-4852)的攻击。
SpringFramework是否使用commons.collections中的InvokerTransformer?
3.更新:这就是JürgenHöller对我的Jira问题的回答:
Spring Framework不会以任何方式使用Commons Collections。如果您将其放在类路径中,则它可能只是在您选择的另一个依赖项(例如OpenJPA)之后。
就是说,我们确实在SPR-13656中有一个相关的问题,我们在其中修复了一个类,以防止在这种情况下被滥用。请注意,这仅在将基于序列化的终结点暴露给不受信任的客户端时才重要。Spring默认情况下不进行任何此类暴露。这是您的应用程序通过使用HTTP Invoker或RMI Invoker明确选择加入的内容。
于尔根
2.更新:Spring Framework版本4.2.3和4.1.9不受相关问题的影响。
我搜索了该spring-framework项目,org.apache.commons.collections.(Transformer|InvokerTransformer|MapTransformer)到目前为止没有发现任何用处。这并不意味着某些Spring子项目会使用InvokerTransformer。
快速搜索jira.spring.io现在没有发现任何问题:
https://jira.spring.io/issues/?jql=text%20~%20%22invoketransformer%22
https://jira.spring.io/issues/?jql=text%20~%20%22CVE-2015-4852%22
也许关键官员可以澄清这一点。
更新:我提出了吉拉问题。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句