UCloud-201704-003: Jackson框架Java反序列化代码执行漏洞安全预警 – U刻

UCloud-201704-003: Jackson框架Java反序列化代码执行漏洞安全预警 – U刻

UCloud-201704-003: Jackson框架Java反序列化代码执行漏洞安全预警

UCloud-201704-003: Jackson框架Java反序列化代码执行漏洞安全预警

云安全团队

2017.04.19
栏目：安全资讯

尊敬的UCloud用户:

Jackson框架enableDefaultTyping方法存在Java反序列化代码执行漏洞，利用漏洞可通过在服务器上执行任意代码或系统指令取得网站服务器的控制权，危害严重。请及时升级并修复您所使用的Jackson。

影响范围

Jackson 2.7.* < 2.7.10
Jackson 2.8.* < 2.8.9

修复方案

1. Jackson更新到2.7.10或2.8.9版本：https://github.com/FasterXML/jackson-databind/issues/1599

漏洞详情

CNVD-2017-04483：Jackson框架在ObjectMapper反序列化前调用了enableDefaultTyping方法，该方法允许json字符串中指定反序列化java对象的类名，而在使用Object、Map、List等对象时，可诱发反序列化漏洞。攻击者利用漏洞可在服务器主机上执行任意代码或系统指令，取得网站服务器的控制权。

参考链接

http://seclists.org/oss-sec/2017/q2/78

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04483

*本平台所发布文章信息，版权归UCloud所有，如需转载请注明出处！

云安全团队

查看TA的所有文章