我们正在我们的站点上运行一个node.js服务器。我该漏洞已在node.js版本0.10.29中消除,因此我使用nvm在我们的ubuntu12服务器上安装了版本0.11.13。但是,在重新启动node.js服务器后,扫描仍然显示我们易受攻击。
考虑到node.js可能依赖于openssl的系统安装,而不是使用自己的系统,我也对其进行了升级。openssl version -b现在显示,我们已经有了2014年10月1日的版本.这对所有帐户来说都是很好的(升级到这个版本就是我如何从运行红宝石服务器的另一台服务
Sonatype Nexus IQ Server component scan指出Jackson-Databind版本2.9.9库存在编码为sonatype-2017-0312的漏洞问题。BeanDeserializerFactory类中的createBeanDeserializer()函数允许对不受信任的BeanDeserializerFactory对象进行反序列化。远程攻击者可以通过上载恶意序列化对象来攻击此漏洞,如果应用程序试图对其进行反序列化,该对象将导致RCE。我试过使用redhat版本的Jac