繼Struts2漏洞，Jackson漏洞來襲

前兩天休息，偏偏此時出現(xiàn)漏洞了，心里咯噔一下，發(fā)表一下希望關注的博友可以重視下。

公司專注于為企業(yè)提供成都做網(wǎng)站、成都網(wǎng)站制作、微信公眾號開發(fā)、商城網(wǎng)站建設，小程序定制開發(fā)，軟件按需設計網(wǎng)站等一站式互聯(lián)網(wǎng)企業(yè)服務。憑借多年豐富的經(jīng)驗，我們會仔細了解各客戶的需求而做出多方面的分析、設計、整合，為客戶設計出具風格及創(chuàng)意性的商業(yè)解決方案，創(chuàng)新互聯(lián)更提供一系列網(wǎng)站制作和網(wǎng)站推廣的服務。

1、時間：

2017-4-17

2、漏洞： 

Jackson框架Java反序列化遠程代碼執(zhí)行漏洞，Jackson可以輕松的將Java對象轉(zhuǎn)換成json對象和xml文檔，同樣也可以將json、xml轉(zhuǎn)換成Java對象。

3、漏洞分析：

Jackson是一套開源的java序列化與反序列化工具框架，可將java對象序列化為xml和json格式的字符串及提 供對應的反序列化過程。由于其解析效率較高，目前是Spring MVC中內(nèi)置使用的解析方式。該漏洞的觸發(fā)條件是ObjectMapper反序列化前調(diào)用了enableDefaultTyping方法。該方法允許json字符串中指定反序列化java對象的類名，而在使Object、Map、List等對象時，可誘發(fā)反序列化漏洞。

4、影響版本：

Jackson Version 2.7.* < 2.7.10

Jackson Version 2.8.* < 2.8.9

5、漏洞來源：綠盟科技 國家信息安全漏洞共享平臺（CNVD）

嚴重性：***者利用漏洞可在服務器主機上執(zhí)行任意代碼或系統(tǒng)指令，取得網(wǎng)站服務器的控制權(quán)。

6、修補方式：

更新到2.7.10或2.8.9版本（但官網(wǎng)目前我試過打不開，新版本并未更新）

手動修改2.7.*，2.8.*以及master分支的代碼來防護該漏洞.

7、Github參考：

https://github.com/FasterXML/jacksondatabind/commit/fd8dec2c7fab8b4b4bd60502a0f1d63ec23c24da

8、合作：運維排查，開發(fā)修改。

9、開發(fā)給的建議：

10、提醒：注重安全，小心為上。

文章標題：繼Struts2漏洞，Jackson漏洞來襲
分享URL：http://www.jbt999.com/article32/jsdjsc.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供軟件開發(fā)、網(wǎng)站制作、網(wǎng)站改版、網(wǎng)站設計公司、定制網(wǎng)站、網(wǎng)站排名

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：[email protected]。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)