大家好,我是栈长。
最近技术栈真是醉了,Log4j2 的核弹级漏洞刚告一段落,这个月初 Spring Cloud Gateway 又突发高危漏洞,现在连最要命的 Spring 框架也沦陷了。。。
栈长今天看到了一些安全机构发布的相关漏洞通告,Spring 官方博客也发布了漏洞声明:
文章图片
漏洞描述:
用户可以通过制作特制的 SpEl 表达式引发 DoS(拒绝服务)漏洞。
SpEL 全称:Spring Expression Language,即:Spring 表达式语言。
这玩意平时使用不多,但在关键时候却很有用,比如我们在 Bean 注入动态取参数的时候经常会遇到:
...
或者基于注解的:
@Component
public class User@Value("#{systemProperties['user.country']}")
private String country;
...}
当然,SpEL 的功能强大不止于此。
影响范围:
- Spring 5.3.0 ~ 5.3.16
- 其他老版本、不受支持的版本也会受到影响
- 升级到最新版本:Spring Framework 5.3.17
- Spring Boot 用户升级到:2.5.11、2.6.5
不管怎么样,大家赶紧检查升级保平安吧!
最后,如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。
参考:https://tanzu.vmware.com/secu...
版权声明: 本文系公众号 "Java技术栈" 原创,原创实属不易,转载、引用本文内容请注明出处,抄袭者一律举报+投诉,并保留追究其法律责任的权利。近期热文推荐:
1.1,000+ 道 Java面试题及答案整理(2022最新版)
2.劲爆!Java 协程要来了。。。
3.Spring Boot 2.x 教程,太全了!
4.别再写满屏的爆爆爆炸类了,试试装饰器模式,这才是优雅的方式!!
5.《Java开发手册(嵩山版)》最新发布,速速下载!
【突发!Spring 也沦陷了。。。】觉得不错,别忘了随手点赞+转发哦!
推荐阅读
- #|SpringBoot整合redis
- Java|一篇文章带你吃透,Java界最神秘技术ClassLoader
- java|java nio 即时通讯_Java的BIO和NIO很难懂(用代码实践给你看,再不懂我转行!)
- 算法练习300题|【leetcode刷题】19.回文链表——Java版
- 超级实习生|“进厂”第一课(大厂Java岗实习要求大盘点(内附2022/2023校招渠道整理))
- java面向对象学习|初学java(斐波那契数列的java实现)
- 全网最硬核 Java 新内存模型解析与实验 - 5. JVM 底层内存屏障源码分析
- 全网最硬核 Java 新内存模型解析与实验 - 4. Java 新内存访问方式与实验
- 全网最硬核 Java 新内存模型解析与实验 - 3. 硬核理解内存屏障(CPU+编译器)