Jackson-databind是Java中用于JSON序列化与反序列化的流行库,美国FasterXML公司的一款用于Java的数据处理工具。
漏洞描述
根据CVE官方的信息"FasterXML jackson-databind through 2.8.10 and 2.9.x through 2.9.3 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 deserialization flaw. This is exploitable by sending maliciously crafted JSON input to the readValue method of the ObjectMapper, bypassing a blacklist that is ineffective if the Spring libraries are available in the classpath."是在CVE-2017-7525漏洞中没有被完全修复,导致补丁黑名单机制被绕过,并被安全研究人员披漏了CVE-2017-17485。
Jackson-databind中存在远程代码执行漏洞。当使用时启用了它的enableDefaultTyping特性时,攻击者构造恶意的JSON数据,通过滥用Spring中的类来绕过原先的黑名单,从而在受影响的应用程序上下文中执行任意代码或造成拒绝服务。
通过在mvnrepository查询发现有大量的项目使用了Jackson-databind,如Spring,Apache Log4j,Apache Hadoop,Struts2, 但经调查使用该组件并非一定会受到该漏洞的直接影响,主要取决于开发者如何使用该组件中的ObjectMapper对象,比如启用了该对象中的enableDefaultTyping方法,并且没有对客户端传递的JSON数据没有进行过滤或者类型检查。
影响范围
jackson-databind 2.9.3
jackson-databind 2.7.9.1
jackson-databind 2.8.10
影响框架
Spring
Apache Log4j
Apache Hadoop
Struts2 等
其他框架暂不详
漏洞PoC
https://github.com/irsl/jackson-rce-via-spel/
https://github.com/ZH3FENG/PoCs-Jackson_2017_17485
漏洞加固方案
官方修复漏洞的版本为
jackson-databind 2.7.9.2,2.8.11, 2.9.3.1
受影响的用户请尽快升级到相应新版本。
参考
Author mail info:https://www.securityfocus.com/archive/1/541652
jackson-databind 版本发布地址:https://github.com/FasterXML/jackson-databind/releases
issue:https://github.com/FasterXML/jackson-databind/issues/1855
MITRE:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17485
securityfocus:https://www.securityfocus.com/archive/1/541652
Nmap:http://seclists.org/bugtraq/2018/Jan/28
mvnrepository:http://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind/usages?p=1
secnews24:https://www.secnews24.com/2018/01/10/cve-2017-17485-fasterxml-jackson-databind-through-2-8-10-and-2-9-x-through-2-9-3-allows-unauthenticated-r/
launchpad:https://launchpad.net/bugs/cve/CVE-2017-17485
Packet Storm:https://packetstormsecurity.com/files/cve/CVE-2017-17485
PoC:https://github.com/irsl/jackson-rce-via-spel/
https://github.com/ZH3FENG/PoCs-Jackson_2017_17485
关于
指尖 安全(secfree.com)
聚焦网络安全热点;
关注安全发展趋势;
洞悉企业安全市场;
分享最新安全技术;
剖析黑客攻击前沿;
云集安全行业大咖;
直击安全峰会论坛;