阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3827阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Jackson框架enableDefaultTyping方法反序列化漏洞

级别: 论坛版主
发帖
241
云币
478
Jackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高,目前是Spring MVC中内置使用的解析方式。 &+3RsIl W  
近期,Jackson框架 2.7.10 及2.8.9以下版本出现任意代码执行漏洞,攻击者利用该漏洞可以获得网站控制权,安全风险高。  U4qk<!  
具体漏洞详情如下: fZcA{$Vc]N  
      
13pu{Xak  
漏洞编号: B$qTH5)W  
暂无 w c  
漏洞名称: /vC!__K9:  
Jackson框架enableDefaultTyping方法反序列化漏洞 7A h   
官方评级: ]Ljb&*IEj  
高危 Bo\~PV[  
漏洞描述: YFDOp *  
该漏洞是由于Jackson框架enableDefaultTyping方法存在Java反序列化代码执行漏洞,攻击者利用漏洞可在服务主机上执行任意代码或系统指令,取得网站服务器的控制权。 iH~A7e62OZ  
漏洞利用条件和方式:  : 76zRF  
黑客可以远程代码执行成功利用该漏洞。 (\o4 c0UzK  
漏洞影响范围: YRMe<upo  
Jackson 2.7版本(<2.7.10) ?Qx4Z3n  
Jackson 2.8版本(<2.8.9) nw_s :  
漏洞检测: .PV(MV  
检查对应的版本是否在受影响范围内。 HD& Cp  
漏洞修复建议(或缓解措施): /pV N1Yt  
目前官方正在开发新的版本2.9,目前官方已经发布了2.7.10补丁,建议用户持续关注。 R x(yn  
情报来源: hy>0'$mU  
  • http://www.cnvd.org.cn/flaw/show/CNVD-2017-04483
  • https://github.com/FasterXML/jackson-databind/issues/1599
?J-\}X  
B&_Z&H=  
|6;-P&_n  
[ 此帖被正禾在2017-04-17 22:18重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)