亲爱的 Spring 社区：

我很高兴代表团队和所有贡献者宣布 Spring Integration 的多个维护版本。 这些版本主要包含错误修复和依赖项升级。

CVE-2020-5413

Spring Integration 框架提供 Kryo Codec 实现，作为 Java（反）序列化的替代方案。 当 Kryo 配置为默认选项时，所有未注册的类都会按需解析。 当传入数据包含在反序列化期间执行的恶意代码时，这会导致“反序列化小工具”漏洞。

为了防止此类攻击，可以将 Kryo 配置为需要一组受信任的类进行（反）序列化。 默认情况下，Spring Integration 调用 kryo.setRegistrationRequired(true);（不信任任何人）并预配置开箱即用的 Message<?> 实现作为受信任的类。 所有其他类型都必须使用注入到 PojoCodec 中的任何可用的 KryoRegistrar 策略向 Kryo 注册。

鸣谢：ChengGao，ZeZhiLin，阿里云智能安全团队 https://www.aliyun.com/。

所有提到的 Spring Integration 版本都包含此 CVE 的修复程序； 鼓励在 Spring Integration 中使用 Kryo 支持的每个人都进行相应的升级。

干杯， 
Artem

项目页面 | GitHub Issues | 贡献 | 帮助 | 聊天