一、事件描述

近日，广西教育系统网络安全监测中心监测到Spring Framework RCE 0day漏洞，严重影响业务服务器安全。

只要满足以下条件之一的应用系统均会受到影响：

1．使用JDK9及以上版本

2．Spring框架以及衍生的框架

该漏洞影响范围极广，危害极大，请相关用户及时关注。广西教育系统网络安全监测中心也将持续关注该漏洞进展，第一时间为您更新该漏洞信息。

二、影响范围

只要满足以下条件之一的应用系统均会受到影响：

1．使用JDK9及以上版本

2．Spring框架以及衍生的框架

三、漏洞等级

广西教育系统网络安全监测中心将该漏洞评级为高危。

四、自查方法

（一）JDK 版本号排查

在业务系统的运行服务器上，执行“java -version”命令查看运行的JDK版本，如果版本号小于等于8，则不受漏洞影响。

（二）Spring 框架使用情况排查

1．如果业务系统项目以war包形式部署，按照如下步骤进行判断。

（1）解压war包：将war文件的后缀修改成.zip,解压zip文件。

（2）在解压缩目录下搜索是否存在spring-beans-*.jar格式的jar文件（例如 spring-beans-5.3.16.jar）,如存在则说明业务系统使用了spring框架进行开发。

（3）如果spring-beans-*.jar文件不存在，则在解压缩目录下搜索CachedIntrospectionResuLts.class文件是否存在，如存在则说明业务系统使用了Spring框架开发。

五、安全建议

目前Spring官方尚未发布官方补丁，建议采用以下两个临时方案进行防护，并及时关注官方补丁发布情况。

（一）WAF防护

在WAF等防护设备，对“class.*”“Class.*”“*.class”“*.Class”等字符串进行规则过滤，并在设置相关规则时对业务进行测试，避免产生额外影响。

（二）临时防护

1．措施一

在应用中全局搜索@InitBinder 注解，看看方法体内是否调用dataBinder.setDisallowedFields 方法，如果发现此代码片段的引入，则在原来的黑名单中，添加{"class.*","Class. *","*. class.*", "*.Class.*"}。(注:如果此代码片段使用较多,需要每个地方都追加)。

2．措施二

在应用系统的项目包下新建以下全局类，并保证这个类被Spring加载到(推荐在 Controller 所在的包中添加).完成类添加后，需对项目进行重新编译打包和功能验证测试。并重新发布项目。

1. import org.springframework.core.annotation.Order;  

2. import org.springframework.web.bind.WebDataBinder;  

3. import org.springframework.web.bind.annotation.ControllerAdvice;  

4. import org.springframework.web.bind.annotation.InitBinder;  

5. @ControllerAdvice

6. @Order(10000)  

7. public class GlobalControllerAdvice{  

8. @InitBinder

9. public void setAllowedFields(webdataBinder dataBinder){  

10. String[]abd=new

11. string[]{"class.*","Class.*","*.class.*","*.Class.*"};  

12. dataBinder.setDisallowedFields(abd);  

13. }  

14. }  

参考资料：

1.广西塔易信息技术有限公司：关于spring开发框架远程代码执行漏洞

预警；

2.远江盛邦（北京）网络安全科技股份有限公司：烽火狼烟之Spring 框

架高危漏洞风险提示；