0


SpringBoot修复Spring AMQP反序列化漏洞(CVE-2023-34050)

问题描述:

2023年10月 Spring官方披露 CVE-2023-34050 Spring AMQP反序列化漏洞漏洞。由于 SimpleMessageConverter 或 SerializerMessageConverter 默认未配置白名单,导致可以反序列化任意类。新版本中在未配置白名单的情况下则不允许反序列化任意类。

解决的建议:
1.spring-amqp版本低于2.4.17的用户应升级到2.4.17
2.spring-amqp是3.0.0至3.0.9版本的用户应升级至3.0.10

如果你的SpringBoot版本号大于等于2.7.x,那你只需要将SpringBoot大版本升级到最新版本即可。如下图所示,官方2023年10月份已经更新了2.7及以上版本,这些版本已经修复了该漏洞。比如你的版本是2.7.16,只需要将SpringBoot的版本升级到2.7.17即可

那么低于2.7的版本要怎么修复呢,官方已经没有对这些低版本进行升级了,将SpringBoot从低版本直接升级到2.7或者以上代价又比较大,需要同步升级很多包,比如Springfox 升级要升级为Springdoc,会导致原来的Swagger文档不可用。下面我们就来聊一聊低版本如何修复该漏洞。

如果你引入的amqp的依赖如下所示

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-amqp</artifactId>
</dependency>

这种方式引入amq相关的jar包包括了spring-amqp和spring-rabbit,而且它们的版本是一致的,只有改变SpringBoot的大版本才能改变spring-amqp和spring-rabbit的版本,能看到这里,肯定是不想升级大版本的。我们只需要删除上面的依赖,分别引入spring-amqp和spring-rabbit两个jar包即可,如果你本身就是按照下面的方式分别引入依赖包的,那你只需要按照下面的方式指定版本即可。

        <!-- rabbit mq 配置 -->
        <dependency>
            <groupId>org.springframework.amqp</groupId>
            <artifactId>spring-amqp</artifactId>
            <version>2.4.17</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.amqp</groupId>
            <artifactId>spring-rabbit</artifactId>
        </dependency>

注意:上面我们只指定了spring-amqp的版本,将它升级为2.4.17,我们并没有改变spring-rabbit的版本,如果将它的版本同样设置为2.4.17,那么启动的时候会报spring 的版本冲突,导致无法成功启动项目,通过测试,只需要指定spring-amqp的版本即可,spring-rabbit的版本跟随SpringBoot的版本即可,不用单独指定。

标签: spring boot spring java

本文转载自: https://blog.csdn.net/LDY1016/article/details/134081710
版权归原作者 咚咚阳 所有, 如有侵权,请联系我们删除。

“SpringBoot修复Spring AMQP反序列化漏洞(CVE-2023-34050)”的评论:

还没有评论