介紹
Jackson是一套開源的java序列化與反序列化工具框架,可將java對象序列化為xml和json格式的字符串及提供對應的反序列化過程。由於其解析效率較高,目前是Spring MVC中內置使用的解析方式。
該漏洞的觸發條件是ObjectMapper反序列化前調用了enableDefaultTyping方法。該方法允許json字符串中指定反序列化java對象的類名,而在使用Object、Map、List等對象時,可誘發反序列化漏洞,導致可執行任意命令。
等級
高危
編號
CNVD-2017-04483
風險
遠程命令執行,攻擊者利用該漏洞可以獲得網站服務器的控制權。
影響版本
Jackson Jackson 2.7.*,<2.7.10
Jackson Jackson 2.8.*,<2.8.9
安全版本
2.7.10或2.8.9版本,同時後續將發佈的2.9.0版本也會加入該漏洞的修復措離。
修復
升級Jackson到2.7.10或2.8.9版本,下載鏈接:github.com/FasterXML/jackson-databind
相關推薦
閒魚官方規則出現漏洞?用戶通過閒魚官方規則退款虛擬物品
閒魚是阿里巴巴旗下閒置交易平臺,可達成包括一鍵轉賣個人淘寶賬號中“已買到寶貝”、自主手機拍照上傳二手閒置物品、以及在線交易等諸多功能,一般二手交易很多人都...
阿里雲曝光ThinkPHP緩存漏洞 為何官方不承認此漏洞
阿里雲近期推送了tp5的緩存函數漏洞短信,導致了tp5用戶的一陣恐慌,在阿里的先知論壇一位網友對tp5作了測試,本該是技術交流的事情,結果阿里雲對所有的t...
百度否認搜索漏洞 卻悄悄調整搜索細節
百度是國內用戶網上搜索的第一入口,近日,《證券日報》記者發現,百度搜索新聞結果極不穩定。對此,百度方面作出迴應稱,經過技術排查定位,百度新聞搜索不存在漏洞或手動篡改的情況。有意思的是,雖然百度方面否認存在漏洞,但是記者發現,百度已經悄悄調整了搜索結果,在原結果前加了一個“約...
國內企業站點CMS漏洞解析
現在越來越多的中小企業都加入到電子商務浪潮中,企業在網絡中建立了展示銷售平臺,在由網絡帶來便利的同時,也帶來了網絡的另一面——網絡信息安全。一、國內網站製...
三星自研系統Tizen被檢測出27000個漏洞,迴應“不可能”
近日,安全研究人員程序驗證系統公司首席技術官卡爾波夫在使用PVS Studio檢測三星自家系統Tizen的時候發現了一個非常吃驚的事情。在3.3%的錯誤代...
天貓“二選一”說謊出漏洞,竟把鍋甩給商家,苦不堪言
三伏天的第二天把“熱度”升級到一個新的高潮,而電商圈這兩天爭吵的熱度也是後浪推前浪!天貓”二選一”竟然甩鍋給品牌商,這是自暴自棄了嗎?天貓第二條聲明說:二...
漏洞掃描與滲透測試的區別
常有人將漏洞掃描與滲透測試的重要性搞混。漏洞掃描替代不了滲透測試的重要性,滲透測試本身也守不住整個網絡的安全。這兩者在各自層面上都非常重要,是網絡風險分析...
漏洞層出不窮 試試這些開源漏洞檢測工具
最近漏洞新聞層出不窮,作為一名技術人員,我們在注意自身文件安全的同時更要學會如何防護漏洞,同時這也是企業安全策略的重要組成部分。本文將介紹 10 款開源的...
網絡安全:openvas漏洞掃描
前言:寫了一個多小時,把那些不常用的也寫上去了。當然,目前最常用的還是使用nessus來掃描漏洞,但是nessus付費不開源,略略略。openvas漏洞掃...
黑客利用漏洞慢慢吸乾數字貨幣 價值5500萬美元Ether幣失竊
2016 年 6 月中旬,被譽為比特幣 2.0 的數字貨幣 Ethereum 失竊了價值 5500 萬美元 Ether 幣,這是數字貨幣世界至今最大的失竊...
推薦中...