漏洞预警:Jackson-databind 反序列化漏洞(CVE-2017-17485)

Posted 漏洞盒子VulBox

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞预警:Jackson-databind 反序列化漏洞(CVE-2017-17485)相关的知识,希望对你有一定的参考价值。

Jackson-databind是Java中用于JSON序列化与反序列化的流行库,美国FasterXML公司的一款用于Java的数据处理工具。

漏洞简介

Jackson-databind中存在远程代码执行漏洞。当使用时启用了它的enableDefaultTyping特性时,攻击者构造恶意的JSON数据,通过滥用Spring中的类来绕过原先的黑名单,从而在受影响的应用程序上下文中执行任意代码或造成拒绝服务。

通过在mvnrepository查询发现有大量的项目使用了Jackson-databind,如Spring,Apache Log4j,Apache Hadoop,Struts2, 但经调查使用该组件并非一定会受到该漏洞的直接影响,主要取决于开发者如何使用该组件中的ObjectMapper对象,比如启用了该对象中的enableDefaultTyping方法,并且没有对客户端传递的JSON数据没有进行过滤或者类型检查。

影响范围

      jackson-databind 2.9.3

      jackson-databind 2.7.9.1

      jackson-databind 2.8.10

影响框架

    Spring 

     Apache Log4j 

     Apache Hadoop

     Struts2 等

修复方案

官方修复漏洞的版本为jackson-databind 2.7.9.2,2.8.11, 2.9.3.1

受影响的用户请尽快升级到相应新版本。

参考:

漏洞发现者邮件内容:

https://www.securityfocus.com/archive/1/541652

https://github.com/FasterXML/jackson-databind/releases

漏洞PoC代码:

(点击阅读原文获取POC)

https://github.com/irsl/jackson-rce-via-spel/

漏洞修复issue

https://github.com/FasterXML/jackson-databind/issues/1855

MITRE 公开信息

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17485

mvnrepository 查询结果

http://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind/usages?p=1


以上是关于漏洞预警:Jackson-databind 反序列化漏洞(CVE-2017-17485)的主要内容,如果未能解决你的问题,请参考以下文章

未然预警 | WebLogic反序列化漏洞

漏洞预警 | Android系统序列化反序列化不匹配漏洞

Fastjson反序列化漏洞预警

预警!java反序列化漏洞来袭!

漏洞预警Adobe ColdFusion 反序列化漏洞

漏洞预警weblogic反序列化漏洞再度来袭