漏洞通告Jackson框架反序列化漏洞通告
Posted 青藤云安全
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞通告Jackson框架反序列化漏洞通告相关的知识,希望对你有一定的参考价值。
尊敬的用户:
Jackson框架爆出反序列化漏洞,该漏洞详情如下:
1.综述
Jackson是一个开源的java序列化与反序列化工具,可以将java对象序列化为xml和json格式的字符串或将两种文件反序列化为相应的对象。
Jackson框架enableDefaultTyping方法存在Java反序列化代码执行漏洞,攻击者利用漏洞可在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。
2.漏洞概述
漏洞类型: 反序列化代码执行漏洞
危险等级: 高危
利用条件: Jackson框架使用enableDefaultTyping方法
受影响系统:Jackson 2.7版本(<2.7.10)、2.8版本(<2.8.9)
3.漏洞编号
CNVD-2017-04483 Jackson框架反序列化漏洞
4.漏洞描述
Jackson框架enableDefaultTyping方法存在Java反序列化代码执行漏洞,攻击者利用漏洞可在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。该漏洞的触发条件是ObjectMapper反序列化前调用了enableDefaultTyping方法。该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞。
5.修复建议
Jackson 升级到2.7.10或2.8.9版本:
https://github.com/FasterXML/jackson-databind/issues/1599
6.即时检测
青藤云安全在Jackson框架反序列化漏洞爆出的第一时间,就己检测出该威胁并通知相关用户。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2017-04483
https://github.com/FasterXML/jackson-databind/issues/1599
青藤是国内首家自适应安全服务商,目前已经为互联网金融、电子商务、企业服务领域的数十家知名互联网企业提供轻量级、弹性可扩展的新一代安全服务体系。青藤,为企业云安全保驾护航。
青藤,让安全更有效
https://qingteng.cn
以上是关于漏洞通告Jackson框架反序列化漏洞通告的主要内容,如果未能解决你的问题,请参考以下文章
漏洞通告Weblogic反序列化漏洞通告(CVE-2018-2628)
FasterXML/Jackson-databind远程代码执行漏洞安全通告(CVE-2020-35728)