欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 1338|回复: 0

[安全通知] 关于Jackson-databind远程代码执行漏洞安全通知

[复制链接]

217

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
33580
威望
13853
发表于 2018-1-11 13:14:56 |显示全部楼层
尊敬的腾讯云客户:
  您好,近日,腾讯云安全中心监测到Jackson-databind被曝存在 远程代码执行漏洞(漏洞编号:CVE-2017-17485),攻击者可以通过Jackson滥用Spring classes导致远程代码执行,该漏洞为之前漏洞(CVE-2017-7525)的后续,系CVE-2017-7525漏洞修复方案所使用黑名单不完整导致。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
     Jackson是一套开源的java序列化与反序列化工具框架,可将Java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高,目前是Spring MVC中内置使用的解析方式。该漏洞系Jackson针对反序列化漏洞(CVE-2017-7525)存在遗留问题的延伸,由于之前采用黑名单方式过滤不全,导致攻击者可以利用该漏洞发送恶意构造恶意的输入实施代码执行攻击,获取网站服务器控制权。

【风险等级】
  高风险

【漏洞风险】
   在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权

【影响版本】
  Jackson-databind version 2.9.3  
  Jackson-databind version 2.7.9.1  
  Jackson-databind version 2.8.10

【安全版本】
  Jackson-databind version 2.9.3.1
  Jackson-databind version 2.7.9.2
  Jackson-databind version 2.8.11

【修复建议】
目前官方已经发布新版本修复了该漏洞,建议您参照上述【安全版本】升级到对应的最新版本,目前最新版本下载链接:https://github.com/FasterXML/jackson-databind/releases

【漏洞参考】
  1)https://www.securityfocus.com/archive/1/541652
  2)https://adamcaudill.com/2017/10/04/exploiting-jackson-rce-cve-2017-7525/
  3)https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062


2017/1/11

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-9-24 18:37 , Processed in 1.164974 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部