描述

Spring Integration框架提供Kryo编解码器实现作为Java（反）序列化的替代方案。当Kryo使用默认选项配置时，所有未注册的类都按需解析。当提供的数据包含恶意代码以便在反序列化期间执行时，这会导致“反序列化gadget”漏洞。为了防止此类攻击，可以将Kryo配置为需要一组受信任的类进行（反）序列化。在代码中配置Kryo时，Spring Integration应该积极主动地阻止未知的“反序列化gadget”。

受影响的Spring产品和版本

• Spring Integration
  • 4.3.0 到 4.3.22
  • 5.1.0 到 5.1.11
  • 5.2.0 到 5.2.7
  • 5.3.0 到 5.3.1

缓解措施

受影响版本的使用者应该升级到包含已修复问题的这些版本。

• Spring Integration
  • 4.3.23
  • 5.1.12
  • 5.2.8
  • 5.3.2

致谢

程高，泽智林，阿里云智能安全团队 https://www.aliyun.com/

参考资料

• https://owasp.org/www-community/vulnerabilities/Deserialization_of_untrusted_data

历史记录

• 2020-07-19：发布初始漏洞报告。