描述

Spring Integration 框架提供了 Kryo Codec 实现，作为 Java（反）序列化的替代方案。当 Kryo 使用默认选项配置时，所有未注册的类都会按需解析。当提供的数据包含在反序列化期间执行的恶意代码时，这会导致“反序列化 gadget”漏洞。为了防范此类攻击，Kryo 可以配置为要求一组受信任的类进行（反）序列化。在代码中配置 Kryo 时，Spring Integration 应积极阻止未知的“反序列化 gadget”。

受影响的 Spring 产品和版本

• Spring Integration
  • 4.3.0 至 4.3.22
  • 5.1.0 至 5.1.11
  • 5.2.0 至 5.2.7
  • 5.3.0 至 5.3.1

缓解措施

受影响版本的用户应升级到已修复此问题的版本

• Spring Integration
  • 4.3.23
  • 5.1.12
  • 5.2.8
  • 5.3.2

致谢

ChengGao、ZeZhiLin、阿里云智能安全团队 https://www.aliyun.com/

参考资料

• https://owasp.org/www-community/vulnerabilities/Deserialization_of_untrusted_data

历史

• 2020-07-19：首次发布漏洞报告。