Jackson-databind远程代码执行漏洞 (CVE-2017-17485)
2018-01-11
综述
近日,Jackson-databind又曝出一个远程代码执行漏洞。该漏洞为之前漏洞(CVE-2017-7525)的后续,描述了另一种针对Jackson-databind的攻击,
https://www.securityfocus.com/archive/1/541652
https://github.com/irsl/jackson-rce-via-spel/
受影响的版本
Jackson-databind version 2.9.3
Jackson-databind version 2.7.9.1
Jackson-databind version 2.8.10
不受影响的版本
Jackson-databind version 2.9.3.1
Jackson-databind version 2.7.9.2
官方将在新版本中通过扩展黑名单的方式来修复该漏洞,受影响的用户请尽快升级到新版本进行防护。
另外,未来Jackson-dababind的最新主要版本(3.x)将使用新的API,该API layer可以提供一种基于白名单的序列化方式来处理多态类(polymorph classes),以此解决该系列漏洞。
参考链接:
本安全公告仅用来描述可能存在的安全问题,js1996官网登录不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,js1996官网登录以及安全公告作者不为此承担任何责任。js1996官网登录拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经js1996官网登录允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
近日,Jackson-databind又曝出一个远程代码执行漏洞。该漏洞为之前漏洞(CVE-2017-7525)的后续,描述了另一种针对Jackson-databind的攻击,
攻击者可以通过Jackson滥用Spring classes导致远程代码执行。
https://www.securityfocus.com/archive/1/541652
https://github.com/irsl/jackson-rce-via-spel/
受影响的版本
Jackson-databind version 2.9.3
Jackson-databind version 2.7.9.1
Jackson-databind version 2.8.10
不受影响的版本
Jackson-databind version 2.9.3.1
Jackson-databind version 2.7.9.2
Jackson-databind version 2.8.11
官方将在新版本中通过扩展黑名单的方式来修复该漏洞,受影响的用户请尽快升级到新版本进行防护。
另外,未来Jackson-dababind的最新主要版本(3.x)将使用新的API,该API layer可以提供一种基于白名单的序列化方式来处理多态类(polymorph classes),以此解决该系列漏洞。
参考链接:
https://github.com/FasterXML/jackson-databind/releases
本安全公告仅用来描述可能存在的安全问题,js1996官网登录不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,js1996官网登录以及安全公告作者不为此承担任何责任。js1996官网登录拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经js1996官网登录允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。