linuxsir首页 LinuxSir.Org | Linux、BSD、Solaris、Unix | 开源传万世,因有我参与欢迎您!
网站首页 | 设为首页 | 加入收藏
您所在的位置:主页 > Linux软件 >

继Struts2漏洞,Jackson漏洞来袭

时间:2017-05-05  来源:未知  作者:linuxsir首页

前两天休息,偏偏此时出现漏洞了,心里咯噔一下,发表一下希望关注的博友可以重视下。
1、时间:
2017-4-17

2、漏洞:
Jackson框架Java反序列化远程代码执行漏洞,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。

3、漏洞分析:
Jackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和json格式的字符串及提 供对应的反序列化过程。由于其解析效率较高,目前是Spring MVC中内置使用的解析方式。该漏洞的触发条件是ObjectMapper反序列化前调用了enableDefaultTyping方法。该方法允许json字符串中指定反序列化java对象的类名,而在使Object、Map、List等对象时,可诱发反序列化漏洞。

4、影响版本:
Jackson Version 2.7.* < 2.7.10
Jackson Version 2.8.* < 2.8.9

5、漏洞来源:绿盟科技 国家信息安全漏洞共享平台(CNVD)
严重性:攻击者利用漏洞可在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。

6、修补方式:
更新到2.7.10或2.8.9版本(但官网目前我试过打不开,新版本并未更新)
手动修改2.7.*,2.8.*以及master分支的代码来防护该漏洞.

7、Github参考:
https://github.com/FasterXML/jacksondatabind/commit/fd8dec2c7fab8b4b4bd60502a0f1d63ec23c24da

8、合作:运维排查,开发修改。

9、开发给的建议:

10、提醒:注重安全,小心为上。

友情链接
  • Rancher推出了第一款Kubernetes操作系统k3OS
  • Kotlin v1.3.31发布,基于JVM的编程语言
  • Wine 4.7 更新,Mono引擎及更多
  • RenderDoc 1.3 发布,受欢迎的图形调试器
  • GitLab 11.10 发布,增强的操作仪表板
  • Wine
  • GNOME 3.33.1发布,GNOME 3.34 桌面环境开发第一个快照
  • 韦诺之战 Battle For Wesnoth 1.14.7/1.14.8 发布,Ubuntu下安装
  • Fedora 32可能删除Python 2及其软件包
  • OpenAI推出MuseNet:一种用于生成音乐作品的深层神经网络
  • KernelShark 1.0 即将发布,用于可视化“Trace
  • 清华大学与中科大相继停止 Anaconda 镜像服务
  • 用于Apache Spark 预览版的.NET现已推出
  • Fedora考虑使用基于VESA的FBDEV驱动程序,取代旧的VESA和OpenChr
  • Rails 6.0.0 RC1发布,多数据库支持
  • GCC 9.1
  • Electron 5.0 发布,附带了新版本的Chromium,V8和Node.js
  • Linux 5.2内核引入通用计数器接口
  • 由于一些遗留的bug阻塞,Fedora 30 是否延迟发布还未知
  • Fedora 30 将于下周二发布
  • GCC 9.1
  • 流媒体应用程序Mobdro窃取用户Wi
  • Google Chrome 74 正式发布,但对Linux用户来说并不令人兴奋
  • Apple发布iOS 12.3,macOS 10.14.5,tvOS 12.3和watchOS 5.2.1的
  • MESA 19.1公开EXT
  • Intel Iris Gallium3D为Mesa 19.1提供更多的游戏性能优化
  • 为什么这么多用户已经将Google Chrome替换为新的Microsoft Edge
  • MongoDB将以3900万美元收购移动数据库管理系统Realm
  • NVIDIA 430.09 Linux驱动发布,带来GTX 1650支持
  • 微软发布适用于Windows 10的4K壁纸包
  • Rust分享2019年的路线图
  • GNU Shepherd 0.6 发布,增加一次性服务
  • 随着三星最新的DeX更新,更多的手机可以使用Linux
  • Fedora将支持MPEG
  • QEMU 4.0 发布,更快的加密与CPU支持的改进
  • Google正在Android Q Beta 2中测试新的滑动手势
  • OS108
  • Svelte 3 稳定版发布,Cyber??netically增强型网络应用程序
  • Ant Design 3.16.5 发布,企业级UI设计语言
  • NVIDIA为Nsight Systems增加Vulkan支持
  • Node.js 12 Current版发布,使用V8 JavaScript引擎
  • Apple发布iOS 12.3,macOS 10.14.5,tvOS 12.3和watchOS 5.2.1的
  • Linux 5.1遇到了针对Intel和VirtIO DRM驱动程序的“特殊回归”
  • Kodi 19 M的代号揭晓
  • Scientific Linux 6/7 将继续得到支持,但分发工作正在结束
  • 福彩3d乐彩论坛
  • 澳门百家乐
  • 天吉彩票论坛
  • 香港自由论坛
  • 澳门银河