动态代码评估:不安全的反序列化(Spring Boot 2)-如何避免执行器相关的设防问题,还是误报?

时间:2018-10-23 09:26:30

标签: spring-boot-actuator fortify

我正在使用以下执行器依赖项

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-actuator</artifactId>
</dependency>

带有弹簧靴2,

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.0.5.RELEASE</version>
</parent>

关于要加强的相关漏洞的任何评论,或者我们有没有理由为要加强的问题获得假阳性。

1 个答案:

答案 0 :(得分:0)

我怀疑Fortify提出的问题不是因为spring-boot-starter-actuator本身,而是因为它对包含deserialization of untrusted data vulnerability的Jackson的传递依赖。但是,要使应用程序容易受到攻击,必须使用非默认值,并且可能很不寻常,这是必须要满足的。您可以在this blog post中从杰克逊的作者那里了解更多有关这些情况的信息。 Spring Boot的Actuator不会启用多态类型处理,因此,如果Fortify警告是由于Jackson引起的,则为误报。

该漏洞已通过阻止某些类进行多态反序列化而在Jackson 2.9.7中fixed。 Spring Boot 2.0.6和2.1.0默认使用Jackson 2.9.7。