V9管控使用了spring-beans-绝对路径可能引发Spring远程代码执行漏洞的补丁处理
异常信息:
/opt/AAS/domains/mydomain/deploy/.system/webtool.war/tmpfiles/docroot/WEB-INF/lib/spring-beans-4.3.18.RELEASE.jar
漏洞影响范围(同时满足以下条件):
1)使用了JDK 9及以上(JDK8环境不影响)
2)Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class
版本号:
解决时间:2022-4-1
解决方案:
根据spring官网的解决方案:https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement,
在admin.war(三员管控)和webtool.war的WEB-INF\classes\com\apusic\aasadmin\monitor\web\controller路径下加入BinderControllerAdvice.class文件(具体在下载附件)
界面现象:
日志截图:
解决操作:
webtool.war包加入路径为webtool.war\WEB-INF\classes\com\apusic\aasadmin\monitor\web\controller的BinderControllerAdvice.class
admin.war包(三员管控)加入路径为admin.war\WEB-INF\classes\com\apusic\aasadmin\monitor\web\controller的BinderControllerAdvice.class
