Spring Cloud Function 任意代碼執行漏洞的緊急預警
發布時間:2022-04-01
點擊數:
一、安全預警
近期,發現 Spring Cloud Function 存在任意代碼執行漏洞。 Spring Cloud Function 是基于 Spring Boot 的函數計算框架,它 抽象出所有傳輸細節和基礎架構,允許開發人員保留所有熟悉的 工具和流程,并專注于業務邏輯。應用范圍較廣,因此威脅影響 范圍較大。 請各重點單位高度重視,加強網絡安全防護,切實保障網絡 系統安全穩定運行。
二、事件信息
(一)事件概要
事件名稱:Spring Cloud Function 任意代碼執行漏洞
威脅類型:任意代碼執行
威脅等級:高
受影響的應用版本:? 3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
(二)漏洞描述
由于 Spring Cloud Function 對用戶輸入的參數安全處理不 嚴,未授權的攻擊者可構造特定的數據包,通過特定的 HTTP 請求頭進行 SpEL 表達式注入攻擊,從而可執行任意的惡意 Jav a 代碼,獲取服務權限。
(三)影響范圍
? 3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
三、防范建議
(一)解決方案
參考漏洞影響范圍進行排查,官方已針對此漏洞發布修復補 丁,請受影響的用戶盡快修復。官方鏈接:
https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f
四、應急處置建議
一旦發現系統中存在漏洞被利用的情況,請第一時間通知我司,同時開展以下緊急處置:
一是立即斷開被入侵的主機系統的網絡連接,防止進一步危害;
二是留存相關日志信息;
三是通過“解決方案”加固系統并通過檢查確認無相關漏洞后再恢復網絡連接
