信息化建设与管理办公室
 首 页  部门介绍  新闻公告  办事流程  规章制度  校内资源  用户指南  一卡通  网络安全 
今天是:

当前位置: 首 页 > 新闻公告 > 正文
网络安全工作提醒
2022-04-04 17:36 王松  审核人:

各部门、学院:

近日Spring框架曝出 RCE 0day 漏洞,在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取 AccessLogValve 对象并诸如恶意字段值,从而触发 pipeline 机制并写入任意路径下的文件。

目前已知,触发该漏洞需要满足两个基本条件:

1、使用 JDK9 及以上版本的 Spring MVC 框架;

2、版本低于5.3.18的Spring 框架以及衍生的框架 spring-beans-*.jar文件或者存在 CachedIntrospectionResults.class。

目前,Spring官方已发布新版本并完成漏洞修复,建议受漏洞影响的系统运营者尽快联系厂商进行自查,并及时升级至最新版本:

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

参考链接:

https://github.com/spring-projects/spring-framework/compare/v5.3.17...v5.3.18

信息化建设与管理办公室

2022年4月4日


关闭窗口
网络自助服务
网络自助服务
统一身份认证
统一身份认证
资产系统
资产系统
vpn服务
vpn服务
教务系统
教务系统
教师邮箱
教师邮箱
财务系统
财务系统
站群管理
站群管理

联系我们
电 话: 0335-8072288
电子邮箱: xxhb@neuq.edu.cn
通信地址:河北省秦皇岛市泰山路143号(066004)

版权声明
版权所有
东北大学秦皇岛分校
信息化建设与管理办公室

联系我们

扫描一下
官方网站