Jackson-databind远程命令执行漏洞通告

1.综述

Jackson是一个开源的java序列化与反序列化工具,可以将java对象序列化为xml和json格式的字符串或将两种文件反序列化为相应的对象。

Jackson-databind存在远程命令执行漏洞,因Jackson反序列化漏洞(CVE-2017-7525)采用黑名单的方法修复程序,CVE-2017-17485在开启enableDefaultTyping()的前提下可以通过Jackson-databind来滥用Spring spel来执行任意命令。

2.漏洞概述

漏洞类型: 远程代码执行漏洞

危险等级: 高危

利用条件: 当srping spel和jackson-databind低版本库使用情况下

受影响版本:Jackson

3.漏洞编号

CVE-2017-17485 Jackson-databind远程代码执行漏洞

4.漏洞描述

Jackson-databind存在远程命令执行漏洞,因Jackson反序列化漏洞(CVE-2017-7525)采用黑名单的方法修复程序,CVE-2017-17485在开启enableDefaultTyping()的前提下可以通过Jackson-databind来滥用Spring spel来执行任意命令。

5.测试环境

可使用测试环境进行测试:https://github.com/irsl/jackson-rce-via-spel

6.修复建议

将Jackson升级版本大于2.7.9.2或2.8.11或2.9.3.1

下载地址:https://github.com/FasterXML/jackson-databind

参考链接:

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-17485

https://nvd.nist.gov/vuln/detail/CVE-2017-17485

https://www.securityfocus.com/archive/1/archive/1/541652/100/0/threaded

https://github.com/FasterXML/jackson-databind

https://github.com/irsl/jackson-rce-via-spel

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180111G0H4ZK00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

同媒体快讯

扫码关注云+社区

领取腾讯云代金券