Jackson-databind远程命令执行漏洞通告
1.综述
Jackson是一个开源的java序列化与反序列化工具,可以将java对象序列化为xml和json格式的字符串或将两种文件反序列化为相应的对象。
Jackson-databind存在远程命令执行漏洞,因Jackson反序列化漏洞(CVE-2017-7525)采用黑名单的方法修复程序,CVE-2017-17485在开启enableDefaultTyping()的前提下可以通过Jackson-databind来滥用Spring spel来执行任意命令。
2.漏洞概述
漏洞类型: 远程代码执行漏洞
危险等级: 高危
利用条件: 当srping spel和jackson-databind低版本库使用情况下
受影响版本:Jackson
3.漏洞编号
CVE-2017-17485 Jackson-databind远程代码执行漏洞
4.漏洞描述
Jackson-databind存在远程命令执行漏洞,因Jackson反序列化漏洞(CVE-2017-7525)采用黑名单的方法修复程序,CVE-2017-17485在开启enableDefaultTyping()的前提下可以通过Jackson-databind来滥用Spring spel来执行任意命令。
5.测试环境
可使用测试环境进行测试:https://github.com/irsl/jackson-rce-via-spel
6.修复建议
将Jackson升级版本大于2.7.9.2或2.8.11或2.9.3.1
下载地址:https://github.com/FasterXML/jackson-databind
参考链接:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-17485
https://nvd.nist.gov/vuln/detail/CVE-2017-17485
https://www.securityfocus.com/archive/1/archive/1/541652/100/0/threaded
https://github.com/FasterXML/jackson-databind
https://github.com/irsl/jackson-rce-via-spel
- 发表于:
- 原文链接:http://kuaibao.qq.com/s/20180111G0H4ZK00?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
