升级通知:Jackson框架反序列化漏洞喊你来升级
发布时间:2017-04-17   作者:启明星辰
摘要: 4月15日国家信息安全漏洞共享平台(CNVD)通报了Jackson框架enableDefaultTyping方法反序列化漏洞,目前天镜漏洞扫描产品已发布紧急升级包,可及时对该漏洞进行检测。
     2017年4月15日国家信息安全漏洞共享平台(CNVD)通报了Jackson框架enableDefaultTyping方法反序列化漏洞,CNVD编号CNVD-2017-04483。攻击者可通过利用该漏洞在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权,该漏洞危害级别高!目前天镜漏洞扫描产品已发布紧急升级包,可及时对该漏洞进行检测。
 
Jackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高,目前是Spring MVC中内置使用的解析方式。
 
漏洞危害
目前漏洞影响的Jackson版本有 2.7版本(<2.7.10)、2.8版本(<2.8.9)。
 
漏洞检测
启明星辰天镜脆弱性扫描与管理系统V6.0已于2017年4月17日紧急发布针对该漏洞的升级包,支持对该漏洞进行检测,用户升级天镜漏扫产品漏洞库后即可对该漏洞进行扫描:
6070版本升级包为607000082,升级包下载地址:
http://www.venustech.com.cn/DownFile/575/
6061版本升级包为6000502,升级包下载地址:
http://www.venustech.com.cn/DownFile/466/
 
天镜脆弱性扫描与管理系统V6.0产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。
 
漏洞修复建议
目前Jackson开发方已经发布了针对该漏洞的修复更新,用户可通过升级到到2.7.10或2.8.9版本修复漏洞。
附:参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2017-04483
https://github.com/FasterXML/jackson-databind/issues/1599
文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号