CVE-2022-22965 常见问题解答

基本信息

已发现 Spring Framework 中的关键远程代码执行漏洞 CVE-2022-22965。根据 Spring 的安全公告,此漏洞会影响在 JDK 9 及更高版本上运行的 Spring MVC 和 Spring WebFlux 应用程序。

此页面包含有关“CVE-2022-22965:通过 JDK 9+ 上的数据绑定的 Spring Framework RCE”的常见问题和解答。Atlassian会及时更新,欢迎关注

云实例是否受到影响?

不,Atlassian的云实例没有受到任何已知漏洞的影响,客户不需要采取任何行动。我们的分析没有发现Atlassian系统或客户数据受到任何影响。出于谨慎考虑,使用受影响的Spring版本的服务将作为优先事项进行修补,以防发现新的攻击载体。

本地服务器版/数据中心版产品是否受到影响?

正在进行的调查已确定,当满足一组狭隘的前提条件时,以下本地部署的产品易受攻击:

  • Bamboo服务器版和数据中心版

  • Confluence服务器版和数据中心版

  • Jira Software服务器版和数据中心版

  • Jira Service Management服务器版和数据中心版

要成功被攻击,须满足以下所有前提条件:

  • 产品在JDK9或更高版本上运行

  • 攻击者欺骗用户,发出恶意的HTTP请求

  • 该请求包含一个有效的跨站请求伪造令牌(请注意,同源策略会阻止攻击者获得用户的有效令牌)。

  • 目标用户以 "系统管理员 "的权限登录到应用程序。

  • 仅限Jira和Confluence:目标用户还拥有一个活跃的 "安全管理员会话"(注意,这些会话默认只持续10分钟)。

产品将根据我们的数据中心和服务器错误修复政策进行更新。

以下本地服务器版产品使用受影响的Spring版本,但不易受到任何已知漏洞的攻击:

  • Bitbucket 服务器版和数据中心版

  • Crowd

  • Crucible

  • Fisheye

出于谨慎考虑,这些产品将根据我们的数据中心和服务器错误修复政策进行更新。

以下本地服务器版产品不使用 Spring,也不需要打补丁:

  • 基于Mac的Sourcetree

  • 基于Windows的Sourcetree

在补丁可用之前,是否有任何临时解决方案可以缓解此漏洞?

使用受影响的本地部署产品的客户可以从运行 JDK 9 或更高版本降级到 JDK 8 或更低版本。这将消除被攻击的可能性。这些指令可用于更改 Jira 和 Confluence 的 Java 版本:

Marketplace 应用程序是否受到影响?

云应用程序

由 Atlassian 开发的适用于我们云产品的Marketplace应用程序目前不易受到任何已知的 CVE-2022-22965 漏洞的攻击。出于谨慎考虑,Atlassian 使用受影响的 Spring 版本开发的 Marketplace 云应用程序将作为优先事项进行修补,以防发现新的攻击媒介。

由第三方合作伙伴为我们的云产品开发的Marketplace应用程序正在积极调查中。任何被发现可被 CVE-2022-22965 利用的第三方应用程序都将在Marketplace中暂停,直到它被修补,并且受影响的客户将收到通知。

数据中心和服务器应用程序

Atlassian 正在积极调查Marketplace中的所有服务器和数据中心应用程序,以确定是否正在使用受影响的 Spring 版本。如果检测到使用受影响的 Spring 版本的应用程序, Marketplace合作伙伴将收到一张漏洞函,要求在加急的时间内提供补丁。任何被发现可被 CVE-2022-22965 利用的 Marketplace 应用程序都将从 Marketplace 隐藏,并通知受影响的客户。

请注意,Atlassian Marketplace 中未列出的应用程序未经过 Atlassian 审核。客户应直接联系这些开发人员,以获取有关其应用程序中此 CVE 的信息。

应用开发者在哪里可以找到更多信息?

注意:CVE-2022-22965 Spring Framework RCE 调查

Atlassian产品是否容易受到CVE-2022-22963的攻击?

CVE-2022-22963 是 Spring Cloud Function 包中的一个漏洞,与随后发布的 CVE-2022-22965 无关。Atlassian 云实例和本地产品不易受到 CVE-2022-22963 的任何已知漏洞的攻击。

Atlassian应对CVE-2022-22963,CVE-2022-22965的常见问题的更多相关文章

  1. CVE: 2014-6271、CVE: 2014-7169 Bash Specially-crafted Environment Variables Code Injection Vulnerability Analysis

    目录 . 漏洞的起因 . 漏洞原理分析 . 漏洞的影响范围 . 漏洞的利用场景 . 漏洞的POC.测试方法 . 漏洞的修复Patch情况 . 如何避免此类漏洞继续出现 1. 漏洞的起因 为了理解这个漏 ...

  2. CVE: 2014-6271、CVE: 2014-7169 PATCH方案分析

    目录 . RedHat官方给的PATCH第一套方案 . RedHat官方给的PATCH临时方案 . RedHat官方给的PATCH第二套方案 1. RedHat官方给的PATCH第一套方案 0x1: ...

  3. Nmap-脚本检测CVE漏洞

    Nmap的一个鲜为人知的部分是NSE,即Nmap Scripting Engine,这是Nmap最强大和最灵活的功能之一.它允许用户编写(和共享)简单脚本,以自动执行各种网络任务.Nmap内置了全面的 ...

  4. [翻译]正式宣布 Visual Studio 2022

    原文: [Visual Studio 2022] 首先,我们要感谢正在阅读这篇文章的你,我们所有的产品开发都始于你也止于你,无论你是在开发者社区上发帖,还是填写了调查问卷,还是向我们发送了反馈意见,或 ...

  5. 中国首个进入谷歌编程之夏(GSoC)的开源项目: Casbin, 2022 年预选生招募!

    Casbin 明日之星预选生计划-Talent for Casbin 2022 "Casbin 明日之星预选生计划-Talent for Casbin 2022"是什么? &quo ...

  6. CVE 公开披露的网络安全漏洞列表

    CVE®是一份公开披露的网络安全漏洞列表, 官方地址为 : https://cve.mitre.org/cve/ 比如 mavenrepository 上阿里的Druid修复的漏洞的列表如下:

  7. 基于Armitage的MSF自动化集成攻击实践

    基于Armitage的MSF自动化集成攻击实践 目录 0x01 实践环境 0x02 预备知识 0x03 Armitage基础配置 0x04 Nmap:Armitage下信息搜集与漏洞扫描 0x05 A ...

  8. 2017-2018-2 20155314《网络对抗技术》Exp5 MSF基础应用

    2017-2018-2 20155314<网络对抗技术>Exp5 MSF基础应用 目录 实验内容 实验环境 基础问题回答 预备知识 实验步骤--基于Armitage的MSF自动化漏洞攻击实 ...

  9. Code Page 编码

    Identifier .NET Name Additional information 037 IBM037 IBM EBCDIC US-Canada 437 IBM437 OEM United St ...

随机推荐

  1. redis整理:常用命令,雪崩击穿穿透原因及方案,分布式锁实现思路,分布式锁redission(更新中)

    redis个人整理笔记 reids常见数据结构 基本类型 String: 普通key-value Hash: 类似hashMap List: 双向链表 Set: 不可重复 SortedSet: 不可重 ...

  2. Redis常见问题及其场景问题

    假如 Redis 里面有 1 亿个 key,其中有 10w 个 key 是以 某个固定的已知的前缀开头的,如果将它们全部找出来?   使用 keys 指令可以扫出指定模式的 key 列表. 对方接着追 ...

  3. 什么是B+树??

    上一篇中,我们了解了B树,辣么..B+树又是什么呢?? 一:定义:B+树是基于B树的,是B树的变形,也是一种多路搜索树.查询性能更加出色. 1.每个父节点元素出现在子节点中,是子节点的最大或最小元素. ...

  4. 使用过 Redis 分布式锁么,它是什么回事?

    先拿 setnx 来争抢锁,抢到之后,再用 expire 给锁加一个过期时间防止锁忘记了 释放. 这时候对方会告诉你说你回答得不错,然后接着问如果在 setnx 之后执行 expire 之前进程意外  ...

  5. 比较一下 Java 和 JavaSciprt?

    JavaScript 与 Java 是两个公司开发的不同的两个产品.Java 是原 Sun Microsystems 公司推出的面向对象的程序设计语言,特别适合于互联网应用程序 开发:而 JavaSc ...

  6. 【代码开源】GreaterWMS 抖音SDK调用教程

    应用介绍 GreaterWMS 抖音SDK调用教程 SDK具体功能: 1,一仓多店,多仓多店 2,库存同步,商品同步 3,快递发货,物流轨迹 4,订单拦截 5,字节云仓 6,精选联盟 7,供应分销 8 ...

  7. python中dtype,type,astype的区别

    python中dtype,type,astype的区别 type() dtype() astype() 函数名称 用法 type 返回参数的数据类型 dtype 返回数组中元素的数据类型 astype ...

  8. 如何将Matlab中“模糊控制设计器”的隶属度函数导出图片(figure)

    如何将Matlab中"模糊控制设计器"的隶属度函数导出图片(figure)详情参考matlab官方帮助手册:plotmf()函数https://www.mathworks.com/ ...

  9. pip freeze > requirements.txt` 命令输出文件中出现文件路径而非版本号

    pip freeze > requirements.txt 命令输出文件中出现文件路径而非版本号 解决办法: pip list --format=freeze > requirements ...

  10. java静态方法和实例方法的区别

    静态方法(方法前冠以static)和实例方法(前面未冠以static)的区别  调用静态方法或说类方法时,可以使用类名做前缀,也可以使用某一个具体的对象名:通常使用类名.static方法只能处理sta ...