Jackson-databind CVE-2017-17485

释放双眼,带上耳机,听听看~!
Jackson-databind是Java中用于JSON序列化与反序列化的流行库,美国FasterXML公司的一款用于Java的数据处理工具。漏洞描述根据CVE官方的信息"FasterXMLjackson-databindthrough2.8.10and2.9.xthrough

1515668935(1).jpg

Jackson-databind是Java中用于JSON序列化与反序列化的流行库,美国FasterXML公司的一款用于Java的数据处理工具。

漏洞描述

根据CVE官方的信息"FasterXML jackson-databind through 2.8.10 and 2.9.x through 2.9.3 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 deserialization flaw. This is exploitable by sending maliciously crafted JSON input to the readValue method of the ObjectMapper, bypassing a blacklist that is ineffective if the Spring libraries are available in the classpath."是在CVE-2017-7525漏洞中没有被完全修复,导致补丁黑名单机制被绕过,并被安全研究人员披漏了CVE-2017-17485

Jackson-databind中存在远程代码执行漏洞。当使用时启用了它的enableDefaultTyping特性时,攻击者构造恶意的JSON数据,通过滥用Spring中的类来绕过原先的黑名单,从而在受影响的应用程序上下文中执行任意代码或造成拒绝服务。

通过在mvnrepository查询发现有大量的项目使用了Jackson-databind,如Spring,Apache Log4j,Apache Hadoop,Struts2, 但经调查使用该组件并非一定会受到该漏洞的直接影响,主要取决于开发者如何使用该组件中的ObjectMapper对象,比如启用了该对象中的enableDefaultTyping方法,并且没有对客户端传递的JSON数据没有进行过滤或者类型检查。

影响范围

jackson-databind 2.9.3

jackson-databind 2.7.9.1

jackson-databind 2.8.10

影响框架

Spring 

Apache Log4j 

Apache Hadoop

Struts2 等

其他框架暂不详

漏洞PoC

https://github.com/irsl/jackson-rce-via-spel/

https://github.com/ZH3FENG/PoCs-Jackson_2017_17485

漏洞加固方案

官方修复漏洞的版本为

jackson-databind 2.7.9.2,2.8.11, 2.9.3.1

受影响的用户请尽快升级到相应新版本。

参考

Author mail info:https://www.securityfocus.com/archive/1/541652

jackson-databind 版本发布地址:https://github.com/FasterXML/jackson-databind/releases

issue:https://github.com/FasterXML/jackson-databind/issues/1855

MITRE:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17485

securityfocus:https://www.securityfocus.com/archive/1/541652

Nmap:http://seclists.org/bugtraq/2018/Jan/28

mvnrepository:http://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind/usages?p=1

secnews24:https://www.secnews24.com/2018/01/10/cve-2017-17485-fasterxml-jackson-databind-through-2-8-10-and-2-9-x-through-2-9-3-allows-unauthenticated-r/

launchpad:https://launchpad.net/bugs/cve/CVE-2017-17485

Packet Storm:https://packetstormsecurity.com/files/cve/CVE-2017-17485

PoC:https://github.com/irsl/jackson-rce-via-spel/

          https://github.com/ZH3FENG/PoCs-Jackson_2017_17485

关于

指尖 安全(secfree.com)

聚焦网络安全热点;

关注安全发展趋势;

洞悉企业安全市场;

分享最新安全技术;

剖析黑客攻击前沿;

云集安全行业大咖;

直击安全峰会论坛;

给TA买糖
共{{data.count}}人
人已赞赏
HackerNews

JYMUSIC 1.x 版本 前台getshell

2018-1-11 2:19:19

HackerNews

阿里安全资深专家杭特辣评中国网络安全人才之“怪现状”

2018-1-12 3:41:49

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索