亲爱的 Spring 社区：

我荣幸地代表团队和所有贡献者宣布 Spring Integration 的多个维护版本。这些版本主要包含错误修复和依赖项升级。

CVE-2020-5413

Spring Integration 框架提供 Kryo Codec 实现作为 Java (反)序列化的一种替代方案。当 Kryo 使用默认选项配置时，所有未注册的类都将按需解析。当传入数据包含恶意代码用于在反序列化期间执行时，这会导致“反序列化 gadget”漏洞。

为了防止此类攻击，可以将 Kryo 配置为要求一组受信任的类用于(反)序列化。Spring Integration 默认调用 kryo.setRegistrationRequired(true);（不信任任何人），并预先配置开箱即用的 Message<?> 实现作为受信任的类。所有其他类型都必须使用注入到 PojoCodec 中的任何可用的 KryoRegistrar 策略向 Kryo 注册。

鸣谢：ChengGao、ZeZhiLin，阿里云智能安全团队 https://www.aliyun.com/。

所有提到的 Spring Integration 版本都包含此 CVE 的修复程序；鼓励所有在 Spring Integration 中使用 Kryo 支持的用户相应地升级。

此致,
Artem

项目页面 | GitHub Issues | 贡献 | 帮助 | 聊天