描述

Spring Integration 框架提供 Kryo Codec 实现作为 Java (反)序列化的替代方案。当 Kryo 使用默认选项配置时，所有未注册的类都会按需解析。当提供的数据包含在反序列化期间执行的恶意代码时，这会导致“反序列化 Gadget”漏洞。为了防止此类攻击，可以将 Kryo 配置为需要一组受信任的类进行（反）序列化。在代码中配置 Kryo 时，Spring Integration 应该主动阻止未知的“反序列化 Gadget”。

受影响的 Spring 产品和版本

• Spring Integration
  • 4.3.0 到 4.3.22
  • 5.1.0 到 5.1.11
  • 5.2.0 到 5.2.7
  • 5.3.0 到 5.3.1

缓解措施

受影响版本的用户应升级到具有已修复问题的这些版本

• Spring Integration
  • 4.3.23
  • 5.1.12
  • 5.2.8
  • 5.3.2

贡献者

ChengGao, ZeZhiLin, 阿里云智能安全团队 https://www.aliyun.com/

参考

• https://owasp.org/www-community/vulnerabilities/Deserialization_of_untrusted_data

历史

• 2020-07-19：发布初始漏洞报告。