前兩天休息,偏偏此時(shí)出現(xiàn)漏洞了,心里咯噔一下,發(fā)表一下希望關(guān)注的博友可以重視下。
公司專注于為企業(yè)提供成都做網(wǎng)站、成都網(wǎng)站制作、微信公眾號(hào)開發(fā)、商城網(wǎng)站建設(shè),小程序定制開發(fā),軟件按需設(shè)計(jì)網(wǎng)站等一站式互聯(lián)網(wǎng)企業(yè)服務(wù)。憑借多年豐富的經(jīng)驗(yàn),我們會(huì)仔細(xì)了解各客戶的需求而做出多方面的分析、設(shè)計(jì)、整合,為客戶設(shè)計(jì)出具風(fēng)格及創(chuàng)意性的商業(yè)解決方案,創(chuàng)新互聯(lián)更提供一系列網(wǎng)站制作和網(wǎng)站推廣的服務(wù)。
1、時(shí)間:
2017-4-17
2、漏洞:
Jackson框架Java反序列化遠(yuǎn)程代碼執(zhí)行漏洞,Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔,同樣也可以將json、xml轉(zhuǎn)換成Java對(duì)象。
3、漏洞分析:
Jackson是一套開源的java序列化與反序列化工具框架,可將java對(duì)象序列化為xml和json格式的字符串及提 供對(duì)應(yīng)的反序列化過程。由于其解析效率較高,目前是Spring MVC中內(nèi)置使用的解析方式。該漏洞的觸發(fā)條件是ObjectMapper反序列化前調(diào)用了enableDefaultTyping方法。該方法允許json字符串中指定反序列化java對(duì)象的類名,而在使Object、Map、List等對(duì)象時(shí),可誘發(fā)反序列化漏洞。
4、影響版本:
Jackson Version 2.7.* < 2.7.10
Jackson Version 2.8.* < 2.8.9
5、漏洞來(lái)源:綠盟科技 國(guó)家信息安全漏洞共享平臺(tái)(CNVD)
嚴(yán)重性:***者利用漏洞可在服務(wù)器主機(jī)上執(zhí)行任意代碼或系統(tǒng)指令,取得網(wǎng)站服務(wù)器的控制權(quán)。
6、修補(bǔ)方式:
更新到2.7.10或2.8.9版本(但官網(wǎng)目前我試過打不開,新版本并未更新)
手動(dòng)修改2.7.*,2.8.*以及master分支的代碼來(lái)防護(hù)該漏洞.
7、Github參考:
https://github.com/FasterXML/jacksondatabind/commit/fd8dec2c7fab8b4b4bd60502a0f1d63ec23c24da
8、合作:運(yùn)維排查,開發(fā)修改。
9、開發(fā)給的建議:
10、提醒:注重安全,小心為上。
文章標(biāo)題:繼Struts2漏洞,Jackson漏洞來(lái)襲
分享URL:http://www.rwnh.cn/article32/jsdjsc.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供軟件開發(fā)、網(wǎng)站制作、網(wǎng)站改版、網(wǎng)站設(shè)計(jì)公司、定制網(wǎng)站、網(wǎng)站排名
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)