Jackson框架出现Java反序列化漏洞 2.7.10 及2.8.9以下版本受影响 我国约有7千多台该服务器暴露在互联网

发布于 2017-04-17 11:41:12 阅读 319 帖子 0


Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象,在2017年3月份, fastjson 1.2.24之前版本曾经出现过严重漏洞 。而更早的时候,Java反序列化漏洞问题曾经一度让大家心惊肉跳,这次是Jackson框架 2.7.10 及2.8.9以下版本出现任意代码执行漏洞,攻击者利用该漏洞可以获得网站控制权。CNVD 公告全文如下:

近日,国家信息安全漏洞共享平台(CNVD)收录了CNVD白帽子(ID:ayound)报送的Jackson框架enableDefaultTyping方法反序列化漏洞(CNVD-2017-04483)。攻击者利用漏洞可在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。

一、漏洞情况分析

Jackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高,目前是Spring MVC中内置使用的解析方式。

4月15日,CNVD白帽子(ID:ayound)提交了Jackson存在Java反序列化漏洞的情况,CNVD秘书处进行了本地环境核实,确认漏洞在一定条件下可被触发,达到任意代码和系统指令执行的目的。该漏洞的触发条件是ObjectMapper反序列化前调用了enableDefaultTyping方法。该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响Jackson 2.7版本(<2.7.10)、2.8版本(<2.8.9)。根据cnvd秘书处对jackson应用普查的结果,目前互联网上约有9.1万台网站服务器标定为使用了jackson框架,其中排名前五位的国家有:美国(占比68.8%)、中国(8.2%)、英国(4.1%)、德国(2.0%)、荷兰(2.0%)。目前,暂未进一步抽样核验实际受影响的比例情况。< p="">

三、防护建议

Jackson开发方已经对ayound提交的情况进行了回应,并发布了修复更新。用户需更新到2.7.10或2.8.9版本,同时后续将发布的2.9.0版本也会加入该漏洞的修复措离。

附:参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04483

https://github.com/FasterXML/jackson-databind/issues/1599 (修复安全建议)


最新回复 (0)
返回