首页 安卓 电脑 ios mac Linux
加入收藏 |
Spring 存在远程代码执行漏洞(CVE-2022-22965)
找不到作者简介
分类: 科技
1
0
2022-04-03

关于开源应用框架Spring Framework存在远程代码执行漏洞(CVE-2022-22965)的排查情况,请各院抓紧时间上报,下午4点前报过来,我这边汇总后需要上报省院。

https://osss.lvruan.com/resource/xdowns/files/2022/04/03/3c050cb97ab20fe13535a1c424c9d512.png


■ 影响范围

JDK >= 9 & Spring Framework < 5.3.18

JDK >= 9 & Spring Framework < 5.2.20

漏洞等级:严重


如何快速排查

墨菲安全提供了一系列检测工具,能够帮助您快速排查项目是否收到影响。


GitLab全量代码检测

使用基于墨菲安全CLI的检测工具,快速对您的GitLab上所有项目进行检测


工具地址:GitHub - murphysecurity/murphysec-gitlab-scanner

使用方式:

从项目地址拉取最新代码

执行命令:

 

python3 scan_all.py -A "your gitlab address" -T "your gitlab token" -t "your murphy token"

参数说明:

-A:指定您的GitLab服务地址

-T:指定您的GitLab个人访问令牌

-t:指定您的墨菲安全账户访问令牌

说明:检测仅发生在您的本地环境中,不会上传任何代码至服务端


墨菲安全开源CLI工具

使用CLI工具,在命令行检测指定目录代码的依赖安全问题


工具地址:在下面

具体使用方式可参考项目 README 或官方文档


 


说明:检测仅发生在您的本地环境中,不会上传任何代码至服务端


墨菲安全IDE插件

IDE 中即可检测代码依赖的安全问题,并通过准确的修复方案和一键修复功能,快速解决安全问题。


使用方式:


IDE插件中搜索“murphysec”即可安装

选择“点击开始扫描”,即可检测出代码中存在哪些安全缺陷组件

https://osss.lvruan.com/resource/xdowns/files/2022/04/03/5e82a32ba873a3c7fa181cf116982d7f.png


 


以上几种检测方式均可在墨菲安全平台上查看详细的检测结果,并可以查看项目的直接或间接依赖信息。

————————————————

版权声明:本文为CSDN博主「墨菲安全」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/murphysec/article/details/123884911

原文:https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement