找文章 / 找答案
精选问答 更多内容

[用户必看] 【漏洞预警】Spring Framework存在远程命令执行漏洞

洪小豆 显示全部楼层 发表于 2022-3-30 14:05:23 |阅读模式 打印 上一主题 下一主题
hi,all:
   我司(北京永洪商智科技有限公司)于今日监测到"Spring Framework存在远程命令执行漏洞",NVD暂未评分,FreeBuf评级为“危险”。
   Yonghong Z-Suite受影响,漏洞详情见附件,我司将尽快解决该问题并发布解决方案。



   Spring近期频繁曝出漏洞,永洪PSIRT将持续监控。

安全预警- Yonghong Z-Suite Spring Framework存在远程命令执行漏洞.docx

40.38 KB, 阅读权限: 10, 下载次数: 36

最佳答案

永洪vip
永洪tech-Bella 白银一 关注Ta

2022-03-30 14:05:24

Hi,all: 2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942,详细信息见https://www.cnvd.org.cn/webinfo/show/7541)。 攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,CNVD对该漏洞的综合评级为“高危”。 Yonghong Z-Suite 部分版本使用了Spring框架,请尽快更新thirds.jar。 影响范围:v8.5-v9.4.1.1 解决方 ...
查看完整内容
回复

使用道具 举报

精彩评论20

永洪tech-Bella白银一 显示全部楼层 发表于 2022-3-30 14:05:24
Hi,all:

    2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942,详细信息见https://www.cnvd.org.cn/webinfo/show/7541)。
    攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,CNVD对该漏洞的综合评级为“高危”。

    Yonghong Z-Suite 部分版本使用了Spring框架,请尽快更新thirds.jar。
    影响范围:v8.5-v9.4.1.1
    解决方案:
        1、v9.0-v9.4.1.1版本
            更新thirds中的springframework到最新的5.3.18版本:
            1)删除thirds.jar\org\springframework文件夹;
            2)复制附件替换进thirds.jar。
        2、v8.5-v8.8.3.1版本
            目前已停止更新,请使用该范围版本的客户尽快更新至9系列。
            临时解决方案,永洪PSIRT正在加急处理中,解决后会第一时间通知。

    同时产品后续发布版本(如9.4.2/9.2.5/9.0.7等)都会解决该漏洞
springframework.zip (9.15 MB, 下载次数: 18)
回复

使用道具 举报

暮世华殇青铜一 显示全部楼层 发表于 2022-4-1 10:32:27
https://avd.aliyun.com/detail?id=AVD-2022-1124599
你好,Spring 官方已发布新版本修复该漏洞,麻烦尽快给下解决方案。

另外,看附件文档介绍说是会给出新的 third.jar 文件,我司现采购产品有 8.7 和 9.1 版本,是否都会进行修复?以及,之前 9.1 版本受到 log4j2 漏洞影响,当时永洪给出的解决方案是手动替换 third.jar 中的部分文件,我司已进行修复,在之后修复该漏洞给出的 third.jar 文件中,是否可以将 log4j2 漏洞一并修复,避免重复操作?
回复

使用道具 举报

永洪tech-cc白银二 显示全部楼层 发表于 2022-4-1 13:20:34
您好,如果需要新jar,您需要提工单申请,看您的版本还比较老了,建议可以升级新版本
回复

使用道具 举报

洪小豆 显示全部楼层 发表于 2022-4-1 20:38:44
Hi,all:

    2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942,详细信息见https://www.cnvd.org.cn/webinfo/show/7541)。
    攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,CNVD对该漏洞的综合评级为“高危”。

    Yonghong Z-Suite 部分版本使用了Spring框架,请尽快更新thirds.jar。
    影响范围:v8.5-v9.4.1.1
    解决方案:
        1、v9.0-v9.4.1.1版本
            更新thirds中的springframework到最新的5.3.18版本:
            1)删除thirds.jar\org\springframework文件夹;
            2)复制附件替换进thirds.jar。
        2、v8.5-v8.8.3.1版本
            目前已停止更新,请使用该范围版本的客户尽快更新至9系列。
            临时解决方案,永洪PSIRT正在加急处理中,解决后会第一时间通知。

    同时产品后续发布版本(如9.4.2/9.2.5/9.0.7等)都会解决该漏洞

springframework.zip

9.15 MB, 阅读权限: 10, 下载次数: 7

回复

使用道具 举报

美滋滋白银二 显示全部楼层 发表于 2022-4-2 13:25:32
请问,什么时候发布9.2.5版
回复

使用道具 举报

Fiona 显示全部楼层 发表于 2022-4-2 14:30:31
美滋滋 发表于 2022-4-2 13:25
请问,什么时候发布9.2.5版

目前还没有明确的计划呢
回复

使用道具 举报

暮世华殇青铜一 显示全部楼层 发表于 2022-4-6 09:12:17
请问 v8.5-v8.8.3.1版本的修复方案什么时候可以提供?领导一直在关注。
回复

使用道具 举报

yhdata_gnLr7oR1白银四 显示全部楼层 发表于 2022-4-6 09:40:59
回复

使用道具 举报

yhdata_BamAEn0q白银四 显示全部楼层 发表于 2022-4-6 10:55:11
永洪tech-Bella 发表于 2022-3-30 14:05
Hi,all:

    2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD ...

请问X版本有影响吗,941
回复

使用道具 举报

高级模式
您需要登录后才可以回帖 登录 | 免费注册

  • 官方微信

    欢迎关注永洪服务号!收费为0,价值无限

    扫码关注
  • 新浪微博

    让每位用户轻松挖掘数据价值!

    访问新浪微博
  • 智能客服
50W

会员等你来哦

Copyright   ©2012-2024  北京永洪商智科技有限公司  (京ICP备12050607) 京公网安备110110802011451号 |《永洪社区协议》
返回顶部