问题描述:
2023年10月 Spring官方披露 CVE-2023-34050 Spring AMQP反序列化漏洞漏洞。由于 SimpleMessageConverter 或 SerializerMessageConverter 默认未配置白名单,导致可以反序列化任意类。新版本中在未配置白名单的情况下则不允许反序列化任意类。
解决的建议:
1.spring-amqp版本低于2.4.17的用户应升级到2.4.17
2.spring-amqp是3.0.0至3.0.9版本的用户应升级至3.0.10
如果你的SpringBoot版本号大于等于2.7.x,那你只需要将SpringBoot大版本升级到最新版本即可。如下图所示,官方2023年10月份已经更新了2.7及以上版本,这些版本已经修复了该漏洞。比如你的版本是2.7.16,只需要将SpringBoot的版本升级到2.7.17即可
那么低于2.7的版本要怎么修复呢,官方已经没有对这些低版本进行升级了,将SpringBoot从低版本直接升级到2.7或者以上代价又比较大,需要同步升级很多包,比如Springfox 升级要升级为Springdoc,会导致原来的Swagger文档不可用。下面我们就来聊一聊低版本如何修复该漏洞。
如果你引入的amqp的依赖如下所示
org.springframework.boot
spring-boot-starter-amqp
这种方式引入amq相关的jar包包括了spring-amqp和spring-rabbit,而且它们的版本是一致的,只有改变SpringBoot的大版本才能改变spring-amqp和spring-rabbit的版本,能看到这里,肯定是不想升级大版本的。我们只需要删除上面的依赖,分别引入spring-amqp和spring-rabbit两个jar包即可,如果你本身就是按照下面的方式分别引入依赖包的,那你只需要按照下面的方式指定版本即可。
org.springframework.amqp
spring-amqp
2.4.17
org.springframework.amqp
spring-rabbit
注意:上面我们只指定了spring-amqp的版本,将它升级为2.4.17,我们并没有改变spring-rabbit的版本,如果将它的版本同样设置为2.4.17,那么启动的时候会报spring 的版本冲突,导致无法成功启动项目,通过测试,只需要指定spring-amqp的版本即可,spring-rabbit的版本跟随SpringBoot的版本即可,不用单独指定。
