描述

Spring Integration 框架提供 Kryo Codec 實現作為 Java (反)序列化的替代方案。當 Kryo 使用預設選項配置時，所有未註冊的類都會按需解析。當提供的資料包含在反序列化期間執行的惡意程式碼時，這會導致“反序列化 Gadget”漏洞。為了防止此類攻擊，可以將 Kryo 配置為需要一組受信任的類進行（反）序列化。在程式碼中配置 Kryo 時，Spring Integration 應該主動阻止未知的“反序列化 Gadget”。

受影響的 Spring 產品和版本

• Spring Integration
  • 4.3.0 到 4.3.22
  • 5.1.0 到 5.1.11
  • 5.2.0 到 5.2.7
  • 5.3.0 到 5.3.1

緩解措施

受影響版本的使用者應升級到具有已修復問題的這些版本

• Spring Integration
  • 4.3.23
  • 5.1.12
  • 5.2.8
  • 5.3.2

貢獻者

ChengGao, ZeZhiLin, 阿里雲智慧安全團隊 https://www.aliyun.com/

參考

• https://owasp.org/www-community/vulnerabilities/Deserialization_of_untrusted_data

歷史

• 2020-07-19：釋出初始漏洞報告。