描述

Spring Integration 框架提供了 Kryo Codec 實現，作為 Java（反）序列化的替代方案。當 Kryo 使用預設選項配置時，所有未註冊的類都會按需解析。當提供的資料包含在反序列化期間執行的惡意程式碼時，這會導致“反序列化 gadget”漏洞。為了防範此類攻擊，Kryo 可以配置為要求一組受信任的類進行（反）序列化。在程式碼中配置 Kryo 時，Spring Integration 應積極阻止未知的“反序列化 gadget”。

受影響的 Spring 產品和版本

• Spring Integration
  • 4.3.0 至 4.3.22
  • 5.1.0 至 5.1.11
  • 5.2.0 至 5.2.7
  • 5.3.0 至 5.3.1

緩解措施

受影響版本的使用者應升級到已修復此問題的版本

• Spring Integration
  • 4.3.23
  • 5.1.12
  • 5.2.8
  • 5.3.2

致謝

ChengGao、ZeZhiLin、阿里雲智慧安全團隊 https://www.aliyun.com/

參考資料

• https://owasp.org/www-community/vulnerabilities/Deserialization_of_untrusted_data

歷史

• 2020-07-19：首次釋出漏洞報告。