CVE-2022-34169 这个有人在跟么?

2022-07-27 09:56:20 +08:00
 matepi

危害上。 直接远程本地执行

触发条件上。 比较低 只要有 XML xslt 转换使用场景的 类似最近还算流行的,做图数据分析,展现用的 SVG-DOM 类的库,都会有使用; 其他类似有前端输入复杂格式,然后 xslt 转换可能的,也有风险

影响范围上。 直接在 JDK 内就漏了,各 JDK 7~18 版本都受影响。直到最近一周 Oracle/Openjdk 才有修 然后看 xalan 社区还是一个半死不活的状态,里面几个领头的一直想把这个直接从 jdk 里面退掉…

目前还没有 POC

3168 次点击
所在节点    信息安全
4 条回复
janxin
2022-07-27 10:03:13 +08:00
wxd21020
2022-07-27 10:26:01 +08:00
怎么办,自己引用别的 JDK 么
lxghost
2022-07-27 10:34:48 +08:00
matepi
2022-07-27 10:48:44 +08:00
@janxin 也就是必须要用了 TransformerFactory 的 XSLTC 特性 XSLT compilation feature ,类似要有

TransformerFactory.setAttribute("jar-name", "xxxx.jar")

之后才能触发?

然后就是,从防御角度,有什么办法全局显式关闭 XSLTC 特性么?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/868949

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX