V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Sponsored by
LinkedIn
2000 个不用坐班的远程好工作在召唤你 · 弹性上班不打卡,工作和生活都能拥有
2000 个不用坐班的全球远程工作,帮助 V2EX 的小伙伴开启全新的工作方式。
Promoted by LinkedIn
matepi
V2EX  ›  信息安全

CVE-2022-34169 这个有人在跟么?

  •  
  •   matepi · 59 天前 · 2294 次点击
    这是一个创建于 59 天前的主题,其中的信息可能已经有所发展或是发生改变。

    危害上。 直接远程本地执行

    触发条件上。 比较低 只要有 XML xslt 转换使用场景的 类似最近还算流行的,做图数据分析,展现用的 SVG-DOM 类的库,都会有使用; 其他类似有前端输入复杂格式,然后 xslt 转换可能的,也有风险

    影响范围上。 直接在 JDK 内就漏了,各 JDK 7~18 版本都受影响。直到最近一周 Oracle/Openjdk 才有修 然后看 xalan 社区还是一个半死不活的状态,里面几个领头的一直想把这个直接从 jdk 里面退掉…

    目前还没有 POC

    4 条回复    2022-07-27 10:48:44 +08:00
    janxin
        1
    janxin  
       59 天前
    wxd21020
        2
    wxd21020  
       59 天前
    怎么办,自己引用别的 JDK 么
    matepi
        4
    matepi  
    OP
       59 天前
    @janxin 也就是必须要用了 TransformerFactory 的 XSLTC 特性 XSLT compilation feature ,类似要有

    TransformerFactory.setAttribute("jar-name", "xxxx.jar")

    之后才能触发?

    然后就是,从防御角度,有什么办法全局显式关闭 XSLTC 特性么?
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1890 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 01:12 · PVG 09:12 · LAX 18:12 · JFK 21:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.