UCloud-201704-003: Jackson框架Java反序列化代码执行漏洞安全预警 | U刻
  • UCloud-201704-003: Jackson框架Java反序列化代码执行漏洞安全预警

    栏目:安全资讯
    JSON Parsing
    尊敬的UCloud用户:

    Jackson框架enableDefaultTyping方法存在Java反序列化代码执行漏洞,利用漏洞可通过在服务器上执行任意代码或系统指令取得网站服务器的控制权,危害严重。请及时升级并修复您所使用的Jackson。

    影响范围

    Jackson 2.7.* < 2.7.10
    Jackson 2.8.* < 2.8.9

    修复方案

    1. Jackson更新到2.7.10或2.8.9版本:https://github.com/FasterXML/jackson-databind/issues/1599

    漏洞详情

    CNVD-2017-04483:Jackson框架在ObjectMapper反序列化前调用了enableDefaultTyping方法,该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞。攻击者利用漏洞可在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。

    参考链接