Jackson-databind 反序列化漏洞 (CVE-2017-15095)
2017-11-02
综述
北京时间2017年11月2日,Jackson针对反序列化漏洞(CVE-2017-7525)存在遗留问题,发布了jackson-databind反序列化漏洞(CVE-2017-15095)及其相关信息,该漏洞作为CVE-2017-7525的后续,描述了更多针对jackson-databind的反序列化漏洞攻击。
7月份,js1996官网登录研究员发现反序列化漏 洞(CVE-2017-7525)影响jackson-databind,该漏洞将危险的类加入黑名单可以得到缓解,官方随后发布公告,并发布了Jackson 2.8.9版本。
但在后续的2.9.1版本中,js1996官网登录研究员仍旧发现了类似的问题,需要将更多危险的类以黑名单的方式进行屏蔽。该信息得到Jackson官方的确认,并决定发布新的公告说明,此漏洞CVE编号为CVE-2017-15095。
考虑到相关安全性,js1996官网登录的分析将在官方补丁发布后公告,请大家关注相关信息。
相关链接:
http://www.openwall.com/lists/oss-security/2017/11/02/3
受影响的版本
Jackson version <= 2.9.2
解决方案
Jackson官方即将发布新版本解决该问题,请用户持续关注并及时更新来进行防护。
参考链接:
https://github.com/FasterXML/jackson-databind/releases
官方也提供了关于CVE-2017-7525与CVE-2017-15095的临时防护措施,请参考链接:
https://bugzilla.redhat.com/show_bug.cgi?id=1462702#c12
声 明
本安全公告仅用来描述可能存在的安全问题,js1996官网登录不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,js1996官网登录以及安全公告作者不为此承担任何责任。js1996官网登录拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经js1996官网登录允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。