阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3828阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Jackson框架enableDefaultTyping方法反序列化漏洞

级别: 论坛版主
发帖
241
云币
478
Jackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高,目前是Spring MVC中内置使用的解析方式。 r=s7be  
近期,Jackson框架 2.7.10 及2.8.9以下版本出现任意代码执行漏洞,攻击者利用该漏洞可以获得网站控制权,安全风险高。 u\6:Txqq  
具体漏洞详情如下: IuRKj8J)o  
      
CnJO]0Op3  
漏洞编号: [~$9n_O94  
暂无 qg+ 8i9Y!  
漏洞名称: ;hRo} +\l  
Jackson框架enableDefaultTyping方法反序列化漏洞 9HWtdJ+^C=  
官方评级: [7$.)}Q-  
高危 ZU/6#pb  
漏洞描述: d'PjO-"g  
该漏洞是由于Jackson框架enableDefaultTyping方法存在Java反序列化代码执行漏洞,攻击者利用漏洞可在服务主机上执行任意代码或系统指令,取得网站服务器的控制权。 ^G=s<pp  
漏洞利用条件和方式: =EFF2M`F  
黑客可以远程代码执行成功利用该漏洞。 EFV'hMjS)  
漏洞影响范围: zxXm9zrLo  
Jackson 2.7版本(<2.7.10) |[C3_'X  
Jackson 2.8版本(<2.8.9) "(/.3`g  
漏洞检测: U^[<G6<9]  
检查对应的版本是否在受影响范围内。 |_Z(}% <o  
漏洞修复建议(或缓解措施): @99@do |C  
目前官方正在开发新的版本2.9,目前官方已经发布了2.7.10补丁,建议用户持续关注。 {i3]3V"Xp  
情报来源: @MTm8E6au  
  • http://www.cnvd.org.cn/flaw/show/CNVD-2017-04483
  • https://github.com/FasterXML/jackson-databind/issues/1599
K`D>G<  
lkOugjI  
d XrLeoK  
[ 此帖被正禾在2017-04-17 22:18重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 29 + 63 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)