親愛的 Spring 社群：

我謹代表團隊以及所有貢獻者宣布 Spring Integration 的多個維護版本。這些版本主要包含錯誤修復和依賴項升級。

CVE-2020-5413

Spring Integration 框架提供 Kryo Codec 實作，作為 Java (反)序列化的替代方案。當 Kryo 使用預設選項配置時，所有未註冊的類別都會按需解析。當傳入資料包含惡意程式碼，並在反序列化期間執行時，這會導致 "deserialization gadgets" 漏洞。

為了防止此類攻擊，可以配置 Kryo 以要求一組受信任的類別進行（反）序列化。 預設情況下，Spring Integration 呼叫 kryo.setRegistrationRequired(true);（不信任任何人），並將現成的 Message<?> 實作預先配置為受信任的類別。 所有其他類型都必須使用注入到 PojoCodec 的任何可用的 KryoRegistrar 策略向 Kryo 註冊。

致謝：ChengGao, ZeZhiLin, 阿里巴巴雲智能安全團隊 https://www.aliyun.com/.

所有提及的 Spring Integration 版本都包含此 CVE 的修復程式； 鼓勵在 Spring Integration 中使用 Kryo 支援的每個人都升級到相應版本。

乾杯， 
Artem

專案頁面 | GitHub Issues | 貢獻 | 協助 | 聊天