3月29日晚，，，，，，，3377体育网官网入口清静应急响应中心监测到Spring Framework高危远程代码执行误差，，，，，，，并第一时间举行误差复现，，，，，，，随即启动应急响应，，，，，，，实时报送误差信息。。。。。。现在，，，，，，，国家信息清静误差共享平台（CNVD）已收录Spring Framework远程下令执行误差（CNVD-2022-23942），，，，，，，并致谢。。。。。。

现在，，，，，，，3377体育网官网入口下一代防火墙、懦弱性扫描与治理系统、自顺应清静防御系统、Web应用清静防护系统、等产品均已更新Spring Framework远程下令执行误差检查或防护插件，，，，，，，建议用户尽快更新规则库，，，，，，，实时查缺补漏，，，，，，，消除危害。。。。。。

误差信息

受影响版本信息如下：

SpringFramework 5.3.X < 5.3.18

SpringFramework 5.2.X < 5.2.20

以及任何引用SpringFramework的衍生产品，，，，，，，如JDK ≥ 9，，，，，，，JRE ≥ 9

误差处置惩罚

Spring官方处置惩罚计划

现在，，，，，，，Spring官方已宣布新版本完成误差修复，，，，，，，CNVD建议受误差影响的产品（服务）厂商和信息系统运营者尽快举行自查，，，，，，，并实时升级至最新版本：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

3377体育网官网入口懦弱性扫描与治理系统

3377体育网官网入口懦弱性扫描与治理系统集成系统漏扫、Web漏扫、数据库漏扫、弱口令检测、基线核查等功效，，，，，，，可从多角度举行信息资产的懦弱性审计，，，，，，，提供专业的清静剖析和修补建议。。。。。。3377体育网官网入口漏扫已宣布紧迫升级包，，，，，，，更新、检测要领如下：

1、手动升级方法：规则库升级至“vas-sys-v1.0-2022.04.01.tir”和“vas-web-v2022.04.01.tir”版本，，，，，，，可联系3377体育网官网入口外地手艺职员获取最新规则库；；；；；

2、在线自动升级：使用治理员账号【系统治理】→【系统维护】→【插件库升级】→连忙升级；；；；；

3、建设误差扫描使命：扫描完成后审查报告，，，，，，，如保存该误差，，，，，，，可凭证报告中的修复建议举行“补缺”。。。。。。

3377体育网官网入口自顺应清静防御系统

3377体育网官网入口自顺应清静防御系统集防御、检测、响应、展望为一体，，，，，，，通过资产治理、危害发明、威胁监测、网络微隔离等功效实现一连的监控与剖析，，，，，，，精准定位主机新误差，，，，，，，增强自动防御能力。。。。。。误差定位与处置惩罚方法如下：

1、 通过资产清点对Spring Framework举行排查，，，，，，，第一时间定位危害主机；；；；；

2、对危害主机下发误差扫描使命，，，，，，，若保存该危害误差，，，，，，，可凭证修复建议举行误差修复。。。。。。

3377体育网官网入口Web应用清静防护系统

3377体育网官网入口Web应用清静防护产品（TopWAF）内置清静规则并团结自学习，，，，，，，自动化攻击防护、误差扫描、DDoS防护、网页防改动等功效，，，，，，，对Web营业的双向流量举行清静过滤，，，，，，，为宽大客户提供智能、高效、零感知的Web清静解决计划。。。。。。

已安排3377体育网官网入口TopWAF客户在2021年3月之后更新过规则库都可以防御该误差，，，，，，，确认开启防护规则ID：1030006即可；；；；；

1、盘问规则库版本：【系统治理】→【系统维护】→【规则库升级】；；；；；

2、确认开启防护规则：【Web防护】→【清静战略】→【规则库】→【焦点规则】搜索ID：1030006 审查启用状态；；；；；

3、审查阻挡信息：【监控中心】→【清静策日志】→【攻击日志】。。。。。。