亲爱的 Spring 社区：

我谨代表团队和所有贡献者，非常高兴地宣布 Spring Integration 的一系列维护版本。这些版本主要包含错误修复和依赖升级。

CVE-2020-5413

Spring Integration 框架提供了 Kryo Codec 实现，作为 Java (反)序列化的替代方案。当 Kryo 使用默认选项配置时，所有未注册的类都会按需解析。当传入数据包含在反序列化过程中执行的恶意代码时，这会导致“反序列化小工具”漏洞。

为了防御此类攻击，Kryo 可以配置为要求一组受信任的类来进行 (反)序列化。Spring Integration 默认调用 kryo.setRegistrationRequired(true);（不信任任何人），并预先配置了开箱即用的 Message<?> 实现作为受信任类。所有其他类型都必须使用注入到 PojoCodec 中的任何可用 KryoRegistrar 策略与 Kryo 注册。

致谢：ChengGao、ZeZhiLin、阿里巴巴智能安全团队 https://www.aliyun.com/。

所有提到的 Spring Integration 版本都包含此 CVE 的修复程序；鼓励所有使用 Spring Integration 中 Kryo 支持的用户进行相应的升级。

祝好， 
Artem

项目主页 | GitHub Issues | 贡献指南 | 帮助 | 聊天