1.Spring官方網頁(https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement)已針對此漏洞釋出更新程式,請各機關聯絡設備維護廠商進行版本確認與更新:
(1)更新Spring Framework至5.2.20或5.3.18以上版本
(2)更新Spring Boot至2.5.12或2.6.6以上版本
2.若無法更新至最新版本,請參考Spring官方網頁之「Suggested Workarounds」一節,採取下列緩解措施:
(1)升級Apache Tomcat至8.5.78、9.0.62或10.0.20以上版本
(2)降版至Java 8
(3)透過全域設定關閉特定欄位之綁定功能
|