描述

Spring Integration 架構提供了 Kryo Codec 實作，作為 Java (反)序列化的替代方案。當 Kryo 使用預設選項配置時，所有未註冊的類別都會按需解析。當提供的資料包含在反序列化期間執行的惡意程式碼時，這會導致「反序列化工具」漏洞。為了防止此類攻擊，可以將 Kryo 配置為需要一組受信任的類別進行 (反)序列化。在程式碼中配置 Kryo 時，Spring Integration 應該主動阻止未知的「反序列化工具」。

受影響的 Spring 產品和版本

• Spring Integration
  • 4.3.0 至 4.3.22
  • 5.1.0 至 5.1.11
  • 5.2.0 至 5.2.7
  • 5.3.0 至 5.3.1

缓解措施

受影響版本的用戶應升級到包含已修復問題的這些版本

• Spring Integration
  • 4.3.23
  • 5.1.12
  • 5.2.8
  • 5.3.2

鳴謝

ChengGao, ZeZhiLin, 阿里云智慧安全團隊 https://www.aliyun.com/

參考

• https://owasp.org/www-community/vulnerabilities/Deserialization_of_untrusted_data

歷史

• 2020-07-19：發布了初始漏洞報告。