欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 2624|回复: 0

[安全通知] 关于Jackson-databind 反序列化漏洞通知

[复制链接]

202

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
31230
威望
12933
发表于 2017-11-3 11:14:46 |显示全部楼层
尊敬的腾讯云客户:
  您好,近日,腾讯云安全中心监测到Jackson-databind被曝存在反序列化漏洞漏洞(漏洞编号:CVE-2017-15095),攻击者可利用该漏洞进行代码执行攻击。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
   Jackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高,目前是Spring MVC中内置使用的解析方式。该漏洞系Jackson针对反序列化漏洞(CVE-2017-7525)存在遗留问题的延伸,由于之前采用黑名单方式过滤不全,导致攻击者可以利用该漏洞发送恶意构造恶意的输入到ObjectMapper的readValue方法中实施代码执行攻击,获取网站服务器控制权。

【风险等级】
   高风险

【漏洞风险
   代码执行

【影响版本】
   Jackson version <= 2.9.2

【安全版本】
   截至公告发出,目前官方暂未发布新版本,建议用户持续关注并及时更新来进行防护。

【修复建议】
  1)推荐解决方案:待官方发布新版本更新后,及时进行升级操作;
  2)临时缓解方案:官方目前提供了关于CVE-2017-7525与CVE-2017-15095的临时防护措施,建议用户尽量不要使用objectMapper.enableDefaultTyping()方法进行全局多态反序列化,如果有必要,可以使用@JsonTypeInfo来定义类型信息
  详细可参考https://www.github.com/mbechler/marshalsec/blob/master/marshalsec.pdf?raw=true

【漏洞参考】
  1)https://github.com/FasterXML/jackson-databind/releases
  2)https://bugzilla.redhat.com/show_bug.cgi?id=1462702#c12
  3)http://www.openwall.com/lists/oss-security/2017/11/02/3

2017/10/3
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-7-18 20:43 , Processed in 1.181661 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部