突发：Spring也沦陷了。。。

大家好&＃xff0c;我是栈长。

最近技术栈真是醉了&＃xff0c;Log4j2 的核弹级漏洞刚告一段落&＃xff0c;这个月初 Spring Cloud Gateway 又突发高危漏洞&＃xff0c;现在连最要命的 Spring 框架也沦陷了。。。

栈长今天看到了一些安全机构发布的相关漏洞通告&＃xff0c;Spring 官方博客也发布了漏洞声明&＃xff1a;

漏洞描述&＃xff1a;

用户可以通过制作特制的 SpEl 表达式引发 DoS&＃xff08;拒绝服务&＃xff09;漏洞。

SpEL 全称&＃xff1a;Spring Expression Language&＃xff0c;即&＃xff1a;Spring 表达式语言。

这玩意平时使用不多&＃xff0c;但在关键时候却很有用&＃xff0c;比如我们在 Bean 注入动态取参数的时候经常会遇到&＃xff1a;

...


或者基于注解的&＃xff1a;

&＃64;Component
public class User&＃64;Value("#{systemProperties[&＃39;user.country&＃39;]}")private String country;...}

当然&＃xff0c;SpEL 的功能强大不止于此。

影响范围&＃xff1a;

• Spring 5.3.0 ~ 5.3.16
• 其他老版本、不受支持的版本也会受到影响

解决方案&＃xff1a;

• 升级到最新版本&＃xff1a;Spring Framework 5.3.17
• Spring Boot 用户升级到&＃xff1a;2.5.11、2.6.5

很奇怪的是&＃xff0c;在前几天的 Spring Boot 2.6.5 发布说明中并没有说明这个漏洞&＃xff0c;而且版本也早于漏洞发生前发布&＃xff0c;但却包含了漏洞的修复&＃xff0c;这是什么操作呢&＃xff1f;

不管怎么样&＃xff0c;大家赶紧检查升级保平安吧&＃xff01;

最后&＃xff0c;如果你想关注和学习最新、最主流的 Java 技术&＃xff0c;可以持续关注公众号Java技术栈&＃xff0c;公众号第一时间推送。

参考&＃xff1a;https://tanzu.vmware.com/security/cve-2022-22950

版权声明&＃xff1a; 本文系公众号 "Java技术栈" 原创&＃xff0c;原创实属不易&＃xff0c;转载、引用本文内容请注明出处&＃xff0c;抄袭者一律举报&＃xff0b;投诉&＃xff0c;并保留追究其法律责任的权利。

近期热文推荐&＃xff1a;

1.1,000&＃43; 道 Java面试题及答案整理(2022最新版)

2.劲爆&＃xff01;Java 协程要来了。。。

3.Spring Boot 2.x 教程&＃xff0c;太全了&＃xff01;

4.别再写满屏的爆爆爆炸类了&＃xff0c;试试装饰器模式&＃xff0c;这才是优雅的方式&＃xff01;&＃xff01;

5.《Java开发手册&＃xff08;嵩山版&＃xff09;》最新发布&＃xff0c;速速下载&＃xff01;

觉得不错&＃xff0c;别忘了随手点赞&＃43;转发哦&＃xff01;