Názory k článku
Spring4Shell: nová zranitelnost Javy ve Spring
-
Filip JirsákStříbrný podporovatelTen JShell do JDK 9 přidávali úplně zbytečně, evidentně máme dost shellů v Javě už dávno – nejdřív log4j2, teď Spring… Každopádně u log4j2 jsem si říkal, že moc používanějších knihoven už nebude, ale Spring je teda ještě jiná liga.
-
L.Stříbrný podporovatelVždyť se podívej na ten obrázek nakreslený dětskou rukou a dvakrát podtržené "hell". Myslíš, že by někdo dával něco takového k seriózní zprávě? :-D
-
u mna to uz niekto skusal, len nechapem, preco je za "=" iba "0", cakal by som tam nejake URL na externe jar-ko.
192.241.214.18 - - [01/Apr/2022:03:37:48 +0200] "GET /?class.module.classLoader.URLs%5B0%5D=0 HTTP/1.1" 200 12154 "-" "Mozilla/5.0 zgrab/0.x"
dalsie IP su: 192.241.225.237, 139.162.172.111este pripominam, ze aplikacie, ktore bezia ako spustitelne Spring Boot jar-ko by nemali byt zranitelne.
zdroj:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#am-i-impacted1. 4. 2022, 20:30 editováno autorem komentáře
-
"ze aplikacie, ktore bezia ako spustitelne Spring Boot jar-ko by nemali byt zranitelne."
To je poměrně zjednodušující. Zadokumentovaná ukázka zneužití sice skutečně využívá vlastností Tomcat classloaderu, ale chyba spočívá v tom, že je vůbec možnost se na classloader dostat. Ostatně hned v následujícím odstavci to píší:
"The vulnerability involves ClassLoader access, and therefore in addition to the specific attack reported with a Tomcat specific ClassLoader, other attacks may be possible against a different custom ClassLoader."
Je možné, že class-loader použitý při zabalení spring boot aplikace do spustitelného jaru zneužít nejde (hrál jsem si s tím pár hodin a nic jsem nenašel, ale nejsem bezpečnostní specialista), ale spoléhat se na to je časovaná bomba.
