2022-04-06 09:02:47 来源:商业新知网
3月31日,国家信息安全漏洞共享平台(CNVD)发布公告预警Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。使用Spring框架或衍生框架构建网站等应用,且同时使用JDK版本在9及以上版本的,易受此漏洞攻击影响。
指掌易技术团队已于第一时间实现对该漏洞的检测分析,并协助用户完成安全应对工作。指掌易 移动业务智能安全平台MBS使用的JDK版本,不在受影响的JDK版本范围内,无需进行升级或修复。
漏洞简介
Spring框架(Framework)是一个开源的轻量级J2EE应用程序开发框架,提供了IOC、AOP及MVC等功能,解决了程序人员在开发中遇到的常见问题,提高了应用程序开发便捷度和软件系统构建效率。
Spring官方发布了Spring框架远程命令执行漏洞公告。 由于Spring框架存在处理流程缺陷,攻击者可在特定远程条件下,实现配置修改和文件写入。
漏洞影响范围
1. JDK9及以上版本
2. 使用Spring框架的spring-webmvc或spring-webflux应用
3. Spring版本5.3.0到5.3.17, 5.2.0到5.2.19, 及更低版本
......
漏洞处置建议
目前,漏洞利用细节已大范围公开,Spring官方已发布新版本完成漏洞修复,CNVD建议受影响的单位和用户立即更新至最新版本。
(点击下方阅读原文了解公告全文)
作为全球排名最高的国产团队Linux发行版,深度操作系统(deepin)20 5正式发布,升级Stable内核至5 15 24,修复底层漏洞,进一步提升系统兼容
Intel昨晚正式发布了Arc锐炫游戏显卡, 这是i740独显发布24年后再次杀入高性能GPU市场 ,开始跟AMD及NVIDIA正面刚了,意义重大。Intel的
苹果公司今天发布了其第16份年度《我们供应链中的人与环境》报告。这份文件以前被称为"供应商责任报告",详细介绍了苹果公司及其供应商如何
AV1 是一个非常高效、开源、免版权费的视频编解码器,和 HEVC(H 265)和 AVC(H 264)等竞争。在流媒体和视频平台加速整合 AV1 的同时,
A股正在加速出清垃圾股。3月30日晚间,*ST中新(603996)、*ST拉夏(603157)、*ST东电(000585)三家公司均宣告了退市风险,可能将被终止上市,
春暖花开,景色如画,本该是一年中最美的时节,但新冠肺炎疫情却让这一切按下“慢行键”。
第三方输入法和智能硬件的融合,似乎已经不是什么新鲜话题。
知乎不再高冷,但用户绝不低头。
近日,据TCL华星官方消息,印度华星的首批产品顺利出货三星,出货仪式在印度安得拉邦Tirupati市TCL产业园内举行。据了解,在TCL华星和印度
万物屏联的京东方时代即将到来,共同期待高质量发展新阶段。