今天收到领导的邮件,关于Spring框架中存在多个安全漏洞预警的通知。漏洞描述
CV E-2018-1270漏洞:Spring Fram ework的5.*版本、4.3.*版本以及不再支持的旧版本,通过spring-m essaging和spring-websocket模块提供的基于W ebSocket的STO M P,攻击者可以通过建立W ebSocket连接并发送一条消息造成远程代码执行,从而实现远程代码执行攻击。
CV E-2018-1271漏洞:Spring Fram ework的5.*版本、4.3.*版本以及不再支持的旧版本,SpringM V C允许应用程序对其配置提供静态资源,在W indows系统上实现该功能时,攻击者通过请求构造的特定资源U RL,可能导致目录遍历的效果产生。
CV E-2018-1272漏洞:Spring Fram ework的5.*版本、4.3.*版本以及不再支持的旧版本,当SpringM V C或Spring W ebFlux服务器接受把客户端请求再转向另一台服务器的场景下,攻击者通过构造和污染M ultipart类型请求,可能对另一台服务器实现权限提升攻击。
漏洞相关的技术细节和验证程序已经公开,且漏洞相关PoC已经公开并证实可用,可能构成巨大的现实威胁。
1、受影响版本:
Spring Framework 5.0 to 5.0.4.
SpringFramework 4.3 to 4.3.14
已不支持的旧版本仍然受影响
2、处置建议
升级补丁:
5.0.x 用户升级到5.0.5版本
4.3.x 用户升级到4.3.15版本
已不支持的旧版本,建议更新到4.3.15版本或5.0.5版本。
于是就开始Spring升级的苦逼之路,其他项目还算顺利但是到xfire服务时出问题,在这个接口服务中引用了spring-1.2.6.jar不知道这个是不是也需要升级呢不管三七二十一开干,中间有很多问题,在最大程度上保持代码不动的前提下,做了以下更改,直接上操作步骤。
将项目下的spring-1.2.6.jar删除引入如下jar文件:
问题一: Configuration problem: Old 1.x 'singleton' attribute in use - upgrade to 'scope
解决方式:修改xfire-spring-1.2.6.jar包中org/codehaus/xfire/spring/xfire.xml配置文件中
所有singleton="true"改成scope="singleton"。修改方式直接用压缩文件打开jar文件找到文件修改并保存。 问题二: Unrecognized xbean element mapping:beans in namespace http://xfire.codehaus.org/config/1.0
修改xfire配置文件services.xml
修改后:
问题三: cannot convert value of type 'org.codehaus.xfire.spring.editors.ServiceFactoryEditor' to .....
解决方式:修改修改xfire-spring-1.2.6.jar包中org/codehaus/xfire/spring/customEditors.xmll配置文件:
修改后:
查看源码可以发现customEditors的类型,在spring2.0 中是Map类型,key和value的类型并不确定,但是底层处理的时候,key的类型必须是Class类型,而value是一个注入的bean;在spring4.0中,customEditors的类型变为了Map<Class<?>, Class<? extends PropertyEditor>>, 也就是说,key和value的类型已经确定为Class类型。 参考: https://blog.csdn.net/xinyoulin/article/details/52315810 最后成功启动项目。