Spring RCE 0day漏洞公告

漏洞名称:Spring RCE 0day漏洞

漏洞等级:高危

披露时间:2022/3/29

TAG:Spring框架、0day漏洞

漏洞危害:攻击者可利用该漏洞进行远程控制服务器、植入恶意程序、 篡改页面等操作。

漏洞概述

3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。

作为目前全球最受欢迎的Java轻量级开源框架,Spring允许开发人员专注于业务逻辑,简化Java企业级应用的开发周期。

但在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并 写入任意路径下的文件。

目前已知,触发该漏洞需要满足两个基本条件:

使用JDK9及以上版本的Spring MVC框架

Spring框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class

 影响版本

JDK9 <= Spring Cloud Function

执行“java-version”命令可查看JDK版本

 安全版本

JDK9>Spring Cloud Function

 安全建议

目前,Spring 官方无官方补丁,建议采用以下两个临时方案进行防护,并及时关注官方补丁发布情况,按官方补丁修复漏洞。

  • WAF 防护

在 WAF 等网络防护设备上,根据实际部署业务的流量情况, 实现对

“class.*”,“Class.*”,“*.class.*”,“*.Class.*”

等字符串的规则过滤,并在部署过滤规则后,对业务运行情况进行测试,避免产生额外影响。

  • 临时修复措施

需同时按以下两个步骤进行漏洞的临时修复:

(1)在应用中全局搜索@InitBinder注解,看看方法体内是否调用dataBinder.setDisallowedFields方法,如果发现此代码片段的引入,则在原来的黑名单中,添加{“class.”,”Class. <em>“,”. class.</em>”, “.Class.”}。(注:如果此代码片段使用较多,需要每个地方都追加)

(2)在应用系统的项目包下新建以下全局类,并保证这个类被Spring加载到(推荐在Controller 所在的包中添加).完成类添加后,需对项目进行重新编译打包和功能验证测试,并重新发布项目。

import org.springframework.core.annotation.Order;

import org.springframework.web.bind.WebDataBinder;

import org.springframework.web.bind.annotation.ControllerAdvice;

import org.springframework.web.bind.annotation.InitBinder;

@ControllerAdvice

@Order(10000)

public class GlobalControllerAdvice{<!– –>

@InitBinder

public void setAllowedFields(webdataBinder dataBinder){<!– –>

String[]abd=new string[]{<!– –>”class.*”,”Class.*”,”*.class.*”,”*.Class.*”};

dataBinder.setDisallowedFields(abd);

}

 说明

经排查青云云平台不受该漏洞影响,可放心使用。

Linux Polkit本地权限提升漏洞

漏洞编号:CVE-2021-4034

漏洞等级:高危

披露时间:2022/01/25

TAG:Linux、提权

漏洞危害:攻击者可以通过修改环境变量来利用此漏洞,诱使 pkexec 执行任意代码,从而导致将本地权限提升为root。

漏洞概述

近日,青云安全中心检测到Linux Polkit本地权限提升漏洞。它存在于所有主流的 Linux 发行版的默认配置中。受影响版本的 pkexec 无法正确处理调用参数计数,最终尝试将环境变量作为命令执行,攻击者可以通过修改环境变量来利用此漏洞,诱使 pkexec 执行任意代码,从而导致将本地权限提升为root。说明:Polkit(PolicyKit)是一个用于控制类Unix系统中控制系统范围权限的组件,它为非特权进程与特权进程的通信提供了一种有组织的方式。pkexec是Polkit开源应用框架的一部分,它负责协商特权进程和非特权进程之间的互动,允许授权用户以另一个用户的身份执行命令,是sudo的替代方案。

影响版本

由于 polkit 为系统预装工具,目前主流Linux版本均受影响。

修复版本

CentOS系列
CentOS 6:polkit-0.96-11.el6_10.2
CentOS 7:polkit-0.112-26.el7_9.1
CentOS 8.0:polkit-0.115-13.el8_5.1
CentOS 8.2:polkit-0.115-11.el8_2.2
CentOS 8.4:polkit-0.115-11.el8_4.2

Ubuntu系列
Ubuntu 20.04 LTS:policykit-1 – 0.105-26ubuntu1.2
Ubuntu 18.04 LTS:policykit-1 – 0.105-20ubuntu0.18.04.6
Ubuntu 16.04 ESM:policykit-1 – 0.105-14.1ubuntu0.5+esm1
Ubuntu 14.04 ESM:policykit-1 – 0.105-4ubuntu3.14.04.6+esm1

安全建议

  1. 漏洞缓解措施

(1)CentOS用户可采用如下命令升级到安全版本或更高版本

yum cleanall && yum makecache

yum updatepolkit -y

验证修复,通过以下命令可查看Polkit是否为安全版本:

rpm -qa polkit

(2)Ubuntu用户可采用如下命令升级至安全版本或更高版本:

sudo apt-get update

sudo apt-get installpolicykit-1

验证修复,通过以下命令可查看Polkit是否为安全版本:

dpkg -l policykit-1

  1. 修补建议

目前此漏洞已经可以修复,建议受影响用户及时升级更新。

(1) Ubuntu已经为PolicyKit推送了更新,以解决14.04和16.04 ESM版本以及最近的18.04、20.04和21.04版本中的漏洞。

下载链接:https://ubuntu.com/security/notices/USN-5252-2

(2) Red Hat已经为 polkit on Workstation 和 Enterprise 产品上的polkit提供了安全更新。

下载链接:https://access.redhat.com/security/security-updates/#/?q=polkit&p=1&sort=portal_publication_date%20desc&rows=10&portal_advisory_type=Security%20Advisory&documentKind=PortalProduct

(3) 如果系统没有可用的补丁,可以从 pkexec 中删除 SUID 位作为临时缓解措施

chmod 0755 /usr/bin/pkexec

相关链接

https://ubuntu.com/security/CVE-2021-4034

https://access.redhat.com/security/cve/CVE-2021-4034

https://www.linux.org/forums/linux-security-announcements-automated.14/

青云针对 Apache Log4j 2 的应对策略

从Apache Log4j 2漏洞披露开始,青云科技一直密切关注相关安全问题,对旗下所有产品进行了系统地检查并做出了相应的修复升级措施,全力保障为青云用户提供最优质的服务。

公有云平台

公有云平台未使用 Log4j 2 相关组件,不受该漏洞影响,可放心使用。

 QingMR

目前我们已经对受影响的 appv-m22zvgc1 2.6.0 – Core 版本进行了修复操作,若您使用了该版本的 QingMR 集群并启动了 Flink 服务,需要重新启动 Flink。

ELK

目前我们已经对 ELK 进行了修复操作,若您使用了 ELK 服务,需要重新启动 ELK。

 KubeSphere

若您使用了 KubeSphere,可通过修改系统环境变量、修改 Log4j 2 配置、修改 Elasticsearch 的 JVM 参数的方式进行修复。详见:

https://kubesphere.io/zh/blogs/apache-log4j2-vulnerability-solution/

QKE

若您使用了 QKE 并安装了 KubeSphere 且勾选了 KubeSphere 中的【日志】组件或选择了外置 ELK 服务,可能会受该漏洞影响。我们正在修复中,同时您可先按照以下方式进行处理:

1、如果您选择外置 ELK 组件,则需要提工单联系 AppCenter 的 ELK App 进行处理。

2、如您选择安装了 KubeSphere 的【日志】组件,可按照 KubeSphere 提供的方案进行修复。详见:

https://kubesphere.io/zh/blogs/apache-log4j2-vulnerability-solution/

 iFCloud多云管理平台

我们已将 log4j 版本升级至 2.15.0,并构建最新的镜像,您可放心使用。

此外,如您遇到其他相关问题,请及时通过工单联系我们。

云防火墙CFW正式上线

云防火墙简介

公有云环境下的SaaS化防火墙,可统一管理互联网到业务的访问控制策略(南北向)和业务与业务之间的微隔离策略(东西向)。内置的威胁入侵检测模块(IPS)支持全网流量可视和业务间访问关系可视,是客户业务上云的第一个网络安全基础设施。秉持安全可视、简单有效的理念,以资产为视角,构建全流程防御的下一代安全防护体系。

青云云防火墙方案

青云云防火墙提供互联网边界流量的访问控制、集成威胁情报、并通过内置的入侵防御系统保护用户的云上资产和数据。

可针对云上公网IP和互联网之间制定内访外和外访内的控制策略,满足云用户对于互联网流量访问控制的管理与安全防护需求。此外,只有资产开启保护后,用户才可以通过云防火墙控制云上的服务器的互联网访问流量。

可识别访问控制策略以外的未知风险,对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截,并提供精准的威胁检测虚拟补丁,智能阻断入侵风险。

可针对全平台设置内访外和外访内的最大带宽及保障带宽,同时也支持多维度进行细粒度的流控设置,帮助用户更合理的使用资源。

可配置黑白名单对指定IP的访问请求进行阻断或放行。

记录通过云防火墙所有流量的日志,包括事件日志和操作日志,帮助用户实时审计网络流量,并为可疑流量进行相应的处理提供依据。

产品价值

1、云上资产集中监控,安全防护无死角

自动同步云上资产,通过以资产为视角对各种安全事件进行关联分析统计,实现集中可视化监控。

2、安全策略及时更新,未知风险可防护

不断更新安全策略库,推动管理员快速发现内网未知威胁、0day攻击等,准确发现内部失陷资产,帮助管理员提前做好安全防范、快速进行攻击检测与响应。

3、多维度策略动态调整,更加贴合客户需求

提供黑/白名单、访问控制、入侵防御多种安全策略来保证用户资产的安全。用户可根据实际业务情况进行自定义调整。

4、提供日志审计功能,事后回溯更清晰

记录通过云防火墙所有流量的日志,包括事件日志和操作日志,对攻击事件进行取证溯源。帮助用户实时审计网络流量,并为可疑流量进行相应的处理提供依据。

应用场景

1、等保合规场景

部署云防火墙能够满足等保2.0二级和三级中针对边界防护,访问控制,入侵防范,恶意代码和垃圾邮件防范,安全审计等特定的等保合规检查要求。

  • 互联网边界隔离。
  • 留存6个月的网络流量日志。

2、公网资产统一防护

  • 用户通过云防火墙的一键防护功能可以有效保护公网资产。
  • 攻击日志审计,安全运维人员分析可能的威胁来源。

3、主动外联管控

云防火墙可以基于IP设置黑白名单,可对主动外联行为进行精准管控。

  • 针对所有主动对外的连接,进行相关日志记录。
  • 对恶意外联请求、挖矿和蠕虫等可以进行有效实时拦截。

4、DMZ分区管控

可实现传统网络中的 DMZ 区需求,将核心资产重点防护。

  • 不同网段之间的五元组访问控制策略。
  • 不同时间段的拦截策略划分。

快速上手

1、业务系统资产

图中的界面主要包括以下几部分信息:

资产状态:用户数据资产(公网IP)的状况,包括防护中或者未防护等。

资产区域:数据资产的区域划分。

同步资产:将用户的公网IP 的信息同步到云防火墙。

自动保护:当可防护额度足够时,针对新增资产将自动开启防护。

异常:请提交工单,我们会协助处理。

2、安全策略

云防火墙产品提供四种安全策略来保证用户资产的安全。策略生效顺序将按照黑名单、白名单、访问控制策略、入侵防御策略执行。用户可在相应的页面对安全策略进行新增及编辑操作。

访问控制策略入侵防御策略流量控制策略黑白名单更多信息详见:https://console.qingcloud.com/cfw/

 

 

QingCloud密钥管理服务(KMS)发布

密钥管理服务(KMS)的重要性

随着《网络安全等级保护》、《网络安全法》等各种安全法律法规的发布执行以及个人、企业的安全意识逐渐增强。人们采用加密的方式进行数据存储及传输,避免个人隐私数据、企业重要数据信息被监听、泄露、篡改、丢失等风险。密钥是打开网络世界的钥匙,因此加解密使用的密钥必须妥善管理,如果密钥泄露则数据被解密,如果密钥丢失则无法被使用者解密。密钥管理服务的意义在于把管理各种数据信息的复杂问题简化成加解密数据的密钥管理。密钥管理服务可以帮助您轻松创建和管理密钥,保护密钥的保密性、完整性和可用性,满足多应用多业务的密钥管理需求,并符合监管和合规要求。极大的降低在密码基础设施和数据加解密产品上的采购、运维、研发开销,帮助您更好的关注业务的发展。

青云KMS方案介绍

QingCloud密钥管理服务(KMS)是一项托管服务,可助您轻松创建和管理密钥,满足审计、法规、合规性需求。实现用户可控的数据安全加密,避免数据安全事故的发生。您可以通过控制台以及API两种方式创建和管理用户主密钥(CMK)。默认开启密钥轮转功能,加强密钥使用的安全性,实现数据保护的安全策略和最佳实践。

日前,青云QingCloud密钥管理服务(KMS)已上线,点击以下链接即可访问(https://console.qingcloud.com/pek3/kms/)。

创建密钥

1、在 QingCloud 控制台,点击安全–>密钥管理服务,进入密钥管理服务页面。

2、点击创建,弹出创建用户CMK窗口。

3、填写相应的参数信息,然后点击提交。

(1)名称:用户密钥的名称。

(2)密钥别名:用户密钥的别名。对密钥的使用, 您既可以使用密钥ID,也可以使用密钥别名。

(3)密钥类型:对称加密。

(4)加密算法:SYMMETRIC_DEFAULT

(5)密钥轮转:是否打开密钥自动轮换功能。默认每年轮转一次。选项:开启,关闭。

(6)描述:用户密钥的描述信息。

云服务器加载密钥

您可以在创建云服务器时选择密钥。目前仅云服务器类型为企业级e2时支持加密功能。

备份制作镜像加载密钥

您可以在备份制作镜像时加载密钥。

1、在 QingCloud 控制台,点击存储–>备份,进入备份页面。

2、右键点击要创建镜像的备份,然后点击制作成新镜像,进入根据云服务器备份制作镜像页面。

3、输入镜像名称并选择是否加密,然后点击制作成新镜像。

SSD企业级硬盘加载密钥

您可以在创建SSD企业级硬盘时加载密钥。

青云KMS适用对象

1、等保测评:通过采用密码技术保证重要数据在传输、存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息。满足等保数据保密性要求。

2、云计算数据安全:云服务用户通过使用密钥管理服务(KMS),实现自行对敏感、核心数据的加解密过程。实现用户可控的数据安全加密,避免数据安全事故的发生。

3、开发者:满足Kubernetes集群 Secret落盘加密、信封加解密本地数据、在线加解密 SSL私钥、敏感配置文件等需求。

青云KMS应用场景

1、云产品(云硬盘)加密

随着云计算、云存储的广泛应用,越来越多的企业将重要核心数据存储在云端,云产品的加密管理刻不容缓。青云KMS与大多数用于加密数据的其他青云的云服务集成。您通过使用在KMS中管理的密钥,云产品可以加密任何归属于您的数据。这些数据既可以是您可以直接访问的数据,也可以是您无法直接访问的云产品内部数据(例如数据库引擎产生的文件)。从而达到增加云上数据的安全和隐私目的。

2、信封加密

信封加密是类似数字信封技术的一种加密手段。这种技术将加密数据的数据密钥封入信封中存储、传递和使用,不再使用主密钥直接加解密数据。当您的业务需要使用信封加密时,您可以调用KMS的API生成一个对称密钥,同时使用指定的用户主密钥加密该对称密钥(被密封的信封保护)。在传输或存储等非安全的通信过程中,直接传递被信封保护的对称密钥。当您需要使用该对称密钥时,打开信封取出密钥即可。

3、密钥轮转

多次重复的使用加密密钥,会增加加密密钥的安全风险。密钥轮转是用来加强密钥使用的安全性,实现数据保护的安全策略和最佳实践。开启密钥轮换后,密钥管理服务会根据设置的轮换周期(默认一年)自动轮换密钥,每次轮换都会生成一个新版本的用户主密钥。加密数据时,KMS会自动使用当前最新版本的用户主密钥来执行加密操作;解密数据时,KMS会自动使用加密时所使用的用户主密钥来执行解密操作。KMS会保留与该用户主密钥关联的所有版本的用户主密钥。这使得KMS可以解密使用该用户主密钥加密的任何密文。

青云KMS功能介绍

功能架构图

主要功能如下:

1、密钥管理:您可以按需创建多个用户主密钥CMK。KMS CMK满足审计、法规和合规性需求的情况。支持对密钥进行修改、禁用、启用、计划删除等操作。默认开启密钥轮转功能,加强密钥使用的安全性,实现数据保护的安全策略和最佳实践。

2、密钥加密存储:密钥常用于保护特定的数据,因此数据的安全依赖于密钥的安全。支持对用户主密钥CMK多重加密存储,保障CMK不泄露。

3、密钥操作API:您可以通过API的方式进行用户主密钥CMK创建、数据密钥创建、在线加解密、密钥轮转等操作。

更多信息详见:https://docsv3.qingcloud.com/security/key_management_service/