溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
前兩天休息,偏偏此時出現漏洞了,心里咯噔一下,發表一下希望關注的博友可以重視下。
1、時間:
2017-4-17
2、漏洞:
Jackson框架Java反序列化遠程代碼執行漏洞,Jackson可以輕松的將Java對象轉換成json對象和xml文檔,同樣也可以將json、xml轉換成Java對象。
3、漏洞分析:
Jackson是一套開源的java序列化與反序列化工具框架,可將java對象序列化為xml和json格式的字符串及提 供對應的反序列化過程。由于其解析效率較高,目前是Spring MVC中內置使用的解析方式。該漏洞的觸發條件是ObjectMapper反序列化前調用了enableDefaultTyping方法。該方法允許json字符串中指定反序列化java對象的類名,而在使Object、Map、List等對象時,可誘發反序列化漏洞。
4、影響版本:
Jackson Version 2.7.* < 2.7.10
Jackson Version 2.8.* < 2.8.9
5、漏洞來源:綠盟科技 國家信息安全漏洞共享平臺(CNVD)
嚴重性:***者利用漏洞可在服務器主機上執行任意代碼或系統指令,取得網站服務器的控制權。
6、修補方式:
更新到2.7.10或2.8.9版本(但官網目前我試過打不開,新版本并未更新)
手動修改2.7.*,2.8.*以及master分支的代碼來防護該漏洞.
7、Github參考:
https://github.com/FasterXML/jacksondatabind/commit/fd8dec2c7fab8b4b4bd60502a0f1d63ec23c24da
8、合作:運維排查,開發修改。
9、開發給的建議:
10、提醒:注重安全,小心為上。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
