3月30日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。
漏洞详情参考链接:***.***/vuls/326627.html
目前,漏洞利用细节已大范围公开,Spring官方已发布补丁修复该漏洞。
目前已知,触发该漏洞需要满足两个基本条件:
1. 使用JDK9及以上版本的Spring MVC框架;
2. Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class.
包含UEM功能的BSM组件涉及该漏洞,不包含UEM功能的不涉及。计划5月份出新版本(预计0711版本)解决。
目前临时解决方案:拨打400,反馈现场的..\iMC\client\uembin\uem.jar文件,修改后返回现场替换,最后重启uem进程。
除此之外,iMC&U-Center1.0系列皆不涉及该漏洞,可参考漏洞报告进行漏洞修复,不影响iMC&U-Center1.0功能。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作