永达电子出品
扫描关注网站建设微信公众账号

扫一扫微信二维码

Jackson框架enableDefaultTyping方法反序列化漏洞

永达电子2017-04-26安全服务
  Jackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高,目前是Spring MVC中内置使用的解析方式。4月15日,CNVD白帽子提交了Jackson存在Java反序列化漏洞的情况,CNVD秘书处进行了本地环境核实,确认漏洞在一定条件下可被触发,达到任意代码和系统指令执行的目的。
  该漏洞的触发条件是ObjectMapper反序列化前调用了enableDefaultTyping方法。该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞。
  攻击者利用漏洞可在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。
建议:
  用户需更新到2.7.10或2.8.9版本,同时后续将发布的2.9.0版本也会加入该漏洞的修复措施。建议用户通过系统更新到最新发行版修复此漏洞。
文章关键词