亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號:CNTA-2016-0031

近日，國家信息安全漏洞共享平臺（CNVD）收錄了Spring Boot框架存在的SPEL表達式注入漏洞（CNVD-2016-04742）。遠程攻擊者利用漏洞可在服務器端執(zhí)行相關指令或代碼，有可能遠程滲透控制網站服務器。由于該應用框架使用范圍廣泛，構成較高的安全威脅。

一、漏洞情況分析

Spring是一款輕量級Java開發(fā)框架。Spring Boot是Spring 的一個核心子項目，其設計目的是用于簡化新Spring應用的初始搭建以及開發(fā)過程。

由于SpelView類中的exactMatch參數(shù)未嚴格過濾，Spring Boot framework 對異常處理不當在同時開啟whitelabel page，會造成異常請求中注入SPEL執(zhí)行。當用戶采用Spring Boot啟動Spring MVC項目后，Spring Boot默認異常模板在處理異常信息時，會遞歸解析SPEL表達式，可導致SPEL表達式注入并執(zhí)行。攻擊者利用此漏洞，通過SPEL即可在服務器端實現(xiàn)指令注入(執(zhí)行代碼)。

CNVD對該漏洞的綜合評級為“高?！?。

二、漏洞影響范圍

漏洞影響Spring Boot 1.1-1.3.0版本，使用上述版本框架構建的網站可能受漏洞影響。

三、漏洞修復建議

目前，互聯(lián)網上已披露了該漏洞的利用代碼。近期，WOOYUN網站提交者唐朝實驗室也提交了對于漏洞的詳細說明，并將于約90天后公開。廠商已發(fā)布了升級程序修復該漏洞，CNVD建議用戶將程序升級至Spring Boot 1.3.1及以上版本。更新地址：

https://github.com/spring-projects/spring-boot/commit/edb16a13ee33e62b046730a47843cb5dc92054e6

附：參考鏈接：

https://github.com/spring-projects/spring-boot/issues/4763

http://www.cnvd.org.cn/flaw/show/CNVD-2016-04742

http://www.wooyun.org/bugs/wooyun-2016-0226888(WOOYUN網站報告)

http://blog.nsfocus.net/spel-vulnerability-technical-analysis-and-protection-scheme/

（注:本公告重點參考了CNVD技術組成員單位——綠盟科技公司提供的相關分析結果）