一、漏洞说明

这个漏洞还要从 3 月 29 日晚间说起。

彼时有不少网友爆料，Spring 框架出现“史诗级” RCE 漏洞，平地一声雷，一时之间，快要入睡的开发者们纷纷坐起查看关于漏洞的情况，闹得技术圈中人心惶惶。

不过有些不同寻常的是，这个漏洞并没有像 Log4j2 事件那样引起圈内诸多企业大厂的紧急行动，甚至连国外披露漏洞的根源也是来自 QQ 和国内部分网络安全网站。

这也让不少网友猜测，该漏洞应该是国内某个安全机构、安全人员最先发现的。

果不其然，据 3 月 31 日国家信息安全漏洞共享平台（CNVD）发布的《关于Spring框架存在远程命令执行漏洞的安全公告》显示，这群神秘的白帽子们包括蚂蚁科技集团、奇安信科技、杭州安恒信息技术、安天科技、360、北京天融信，当然这些都是后话了。

1.1 Spring 零日漏洞真的存在

就在开发者越来越焦灼时，Spring.io 官方于 3 月 31 日晚间出面证实了这一漏洞的存在，并带来了解决方案。

根据公告，我们发现这个漏洞的影响远比我们想象的更为严重，如果满足以下几种门槛，极有可能受漏洞影响：

• JDK 9 或更高版本

• Apache Tomcat 作为 Servlet 容器

• 打包为传统的 WAR（与 Spring Boot 可执行 jar 相比）

• spring-webmvc 或 spring-webflux 依赖

• Spring Framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 以及更早的版本

二、官方更新

2.1 初步解决方案

当前 Spring.io 已经发布了 Spring Framework 5.3.18 和 5.2.20 版本，同时还带来了最新的依赖于 Spring Framework 5.3.18 的 Spring Boot 2.6.6 和 2.5.12 。因为如果你能升级到 Spring Framework 5.3.18 和 5.2.20，就不用以下的修复方案了。

如果不可以，Spring 官方建议通过 @ControllerAdvice 来设置 WebDataBinder 的 disallowedFields。

@ControllerAdvice@Order(Ordered.LOWEST_PRECEDENCE)public class BinderControllerAdvice { @InitBinder public void setAllowedFields(WebDataBinder dataBinder) { String denylist = new String{"class.*", "Class.*", "*.class.*", "*.Class.*"}; dataBinder.setDisallowedFields(denylist); }}

这个解决方案通常会有效，但也并不是 100% 可以阻止漏洞。因此为了更加保险一些，Spring.io 还建议应用程序可以扩展
RequestMappingHandlerAdapter，同时在所有其他初始化之后，在最后更新WebDataBinder。为了实现这一点，Spring Boot 应用程序可以声明一个 WebMvcRegistrations（Spring MVC）或 WebFluxRegistrations bean（Spring WebFlux）。

在Spring MVC中（在WebFlux中也类似）示例如下：

package vip.mate.demo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.web.servlet.WebMvcRegistrations;
import org.springframework.context.annotation.Bean;
import org.springframework.web.bind.ServletRequestDataBinder;
import org.springframework.web.context.request.NativeWebRequest;
import org.springframework.web.method.annotation.InitBinderDataBinderFactory;
import org.springframework.web.method.support.InvocableHandlerMethod;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter;
import org.springframework.web.servlet.mvc.method.annotation.ServletRequestDataBinderFactory;

import java.util.ArrayList;
import java.util.Arrays;
import java.util.Collections;
import java.util.List;

@SpringBootApplication
public class MyApp {
    public static void main(String[] args) {
        SpringApplication.run(MyApp.class, args);
    }

    @Bean
    public WebMvcRegistrations mvcRegistrations() {
        return new WebMvcRegistrations() {
            @Override
            public RequestMappingHandlerAdapter getRequestMappingHandlerAdapter() {
                return new ExtendedRequestMappingHandlerAdapter();
            }
        };
    }

    private static class ExtendedRequestMappingHandlerAdapter extends RequestMappingHandlerAdapter {
        @Override
        protected InitBinderDataBinderFactory createDataBinderFactory(List<InvocableHandlerMethod> methods) {
            return new ServletRequestDataBinderFactory(methods, getWebBindingInitializer()) {
                @Override
                protected ServletRequestDataBinder createBinderInstance(Object target, String name, NativeWebRequest request) throws Exception {
                    ServletRequestDataBinder binder = super.createBinderInstance(target, name, request);
                    String[] fields = binder.getDisallowedFields();
                    List<String> fieldList = new ArrayList<>(fields != null ? Arrays.asList(fields) : Collections.emptyList());
                    fieldList.addAll(Arrays.asList("class.*", "Class.*", "*.class.*", "*.Class.*"));
                    binder.setDisallowedFields(fieldList.toArray(new String[]{}));
                    return binder;
                }
            };
        }
    }
}

对于没有 Spring Boot 的 Spring MVC，应用程序可以从 @EnableWebMvc 切换到直接扩展
DelegatingWebMvcConfiguration，如这个文档中（https://docs.spring.io/spring-framework/docs/current/reference/html/web.html#mvc-config-advanced-java）高级配置部分所述，然后重写 createRequestMappingHandlerAdapter 方法。

基于以上，我们建议受漏洞影响的产品（服务）厂商和信息系统运营者第一时间进行自查，并及时升级至最新版本。

• 微软补丁星期二修复 115 个漏洞，泄露的 SMBv3 漏洞已修复
• Google 再次修复 Chrome 零日漏洞
• Apache Kylin 发现 SQL 注入漏洞，已修复
• VideoLAN 反击：VLC 远程代码执行漏洞早就修复了！
• 微软为 Windows 10 紧急修复两个高危漏洞，建议更新
• 微软的 0day 漏洞修复破坏了 Windows 功能