再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报

最新推荐文章于 2024-05-16 15:14:05 发布
最新推荐文章于 2024-05-16 15:14:05 发布
阅读量658 收藏 10
点赞数 26
分类专栏: 程序员 文章标签: 阿里云 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84048542/article/details/137410704
版权
文章揭示了Jackson库存在的安全漏洞,该漏洞可能导致远程代码执行。阿里云安全团队首先发现了这个问题并向Jackson官方报告。受影响的jackson-databind版本在2.9.10.6之前,而2.9.10.6及以上版本已修复此问题。作者还分享了修复建议,并提供了一份全面的Java学习资源,旨在帮助开发者提升技能。
摘要由CSDN通过智能技术生成

其实上它的底层原理是利用某些类的反序列化利用链,可以绕过 jackson-databind 黑名单限制,远程攻击者通过向使用该组件的web服务接口发送特制请求包(精心构造的JSON),可以造成远程代码执行影响。

漏洞评级

评定方式 等级
威胁等级 高危
影响面 有限
漏洞评分 75

对此评级没有概念?那就来个参照物比一比嘛,我把Fastjson上次(2020-05)的安全漏洞评级给你做对比:

评定方式 等级
威胁等级 高危
影响面 广泛
漏洞评分 75

有限和广泛的的区别到底有多大,用文字不太好描述。打个比方,我觉得可类比艾滋病和新冠病毒的区别,前者对社会生态影响并不大,而后者恨不得让全球都停摆了,即使它致死率还远没有前者那么高,这就是影响范围的“力量”。

影响版本

jackson-databind < 2.9.10.6

因为现在大家都基于Spring Boot开发,针对版本号我<

最低0.47元/天 解锁文章
2401_84048542
关注
  • 26
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云安全
qq_51484636的博客
03-02 551
阿里云安全 一.依赖 com.aliyun aliyun-java-sdk-core 4.1.1 com.aliyun aliyun-java-sdk-green 3.5.1 二. 配置appkey,secret,scene aliyun.accessKeyId=LTAI4FmKL2EKYCGgN2az5M57 aliyun.secret=XjgvRoAGzM3rWQxKWDJx98VWOmO0Hz aliyun.scenes=porn,terrorism,ad,qrcode,live,logo 创
【漏洞修复系列】如何不安装软件或应用,直接查看软件内依赖包的版本信息?记一次漏洞修复实践分享
Yangy的博客
10-24 2367
本次修复漏洞的实践分享,就到这里啦。其实本次,主要是想记录一下如何快速找到安全版本的安装包或依赖包的经验,希望能帮助到遇到类似问题的朋友们~~另外,升级安装包或依赖包,一定要注意版本不同,可能或带来一些差异,或是报错等异常问题,所以,需要非常谨慎。建议在,开发测试环境,实践运行观察稳定之后,再切换到生产环境。避免线上出BUG,那就难搞了额!!!
logstash的jackson-databind漏洞修复
洁哥哥的博客
06-06 1417
【代码】jackson-databind漏洞修复。
Jackson使用详解
最新发布
chanyue123的博客
05-16 1433
jackson使用详解
jackson最新使用手册
weixin_39296233的博客
05-16 2147
jackson包含Jackson Data Processor的通用数据绑定功能和树模型。它建立在Streaming API(流解析器/生成器)包之上,并使用Jackson Annotations进行配置。项目在Apache License 2.0下获得许可。虽然Jackson的原始用例是JSON数据绑定,但只要存在解析器和生成器实现,它现在也可以用于读取以其他数据格式编码的内容。类的命名在很多地方都使用了“JSON”这个词,尽管对JSON格式并没有实际的硬性依赖。
maven升级漏洞依赖jar包
翱翔于知识的天空
12-06 8582
如果只是想打印当前项目的依赖树,最简单的方法就在在该项目(包含pom)的目录下执行maven命令,要注意的点是:1.执行的目录下必须包含pom文件,且多模块的要在父pom所在目录下执行;2.需要在powershell下执行(idea里支持) 如果想打印出来并放到一个文件里,那么可以在项目目录下执行该命令 执行完上述命令后,就可以到对应目录下找到那个文件,里面就是你项目里的所有依赖。 这里简单提供一个解析上面txt的文件并转成xml的代码 2.判断依赖是否有漏洞 上maven仓库上搜索对应的artifac
SpringBoot升级/指定jackson版本
CaptainCats的博客
08-31 1万+
【漏洞通告】 2月19日,NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行 漏洞(CVE-2020-8840),CVSS评分为9.8 。受影响版本jackson-databind中由于缺少 某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter, 可导致攻击者使用JNDI注入的方式实现远程代码执行。目前厂商已发布新版本完成漏洞修复, 请相关用户及时升级进行防护。 由于项目中用
jackson-databind漏洞问题
08-01
jackson-databind-2.8.1 适用于jdk1.7 jackson-databind-2.11.2 适用于jdk1.8 jackson-databind-2.7.9.2 适用于jdk1.6
阿里云ctf比赛writeup
04-26
- **bypassIt I & II**:这些挑战涉及到Web应用程序的安全漏洞,如基于JSON的序列化漏洞。在`bypassIt I`中,攻击者可以通过触发GET请求来利用漏洞。而在`bypassIt II`中,问题在于`fastjson`库,攻击者需要找到一...
jackson-databind的漏洞问题
08-01
jackson-databind-2.8.1 适用于jdk1.7 jackson-databind-2.11.2 适用于jdk1.8 jackson-databind-2.7.9.2 适用于jdk1.6
jackson所需jar包springmvc中稳定版
03-27
jackson所需要的完成jar包,在springmvc处理json时,不会报错,jackson所有版本都曾尝试过,这个版本和spring的4.1.6版本完美融合.在调用dubbo时,不会出错.
阿里云Elasticsearch7.x jar包.zip
08-21
阿里云Elasticsearch 7.x版本是一个高度可扩展的开源全文搜索引擎,基于Lucene构建,设计用于处理大量数据并提供实时分析。Elasticsearch不仅是一个搜索引擎,还是一个数据分析和存储平台,广泛应用于日志分析、监控...
CVE-2020-24616:Jackson 多个反序列化安全漏洞通告 .pdf
09-05
**CVE-2020-24616:Jackson反序列化安全漏洞详解** Jackson是Java中广泛使用的JSON处理库,它提供了高效且灵活的数据绑定功能。然而,2020年8月27日,360CERT披露了一个高危安全漏洞,即CVE-2020-24616,该漏洞影响...
jackson(一)基本简介以及使用
你总是想知道的博客
03-29 1932
1. 简介 jackson1.x版本已经停止维护 jackson2.x版本仍在在维护 2.x不兼容1.x jackson版本的包路径:org.codehaus.jackson jackson版本的包路径是:com.fasterxml.jackson jackson版本主要包含3个模块: jackson-core jackson-annotations jackson-databind databind 依赖 jackson-core, jack-annotations maven仓库的jar包
SpringBoot升级指定jackson版本
m0_54883970的博客
08-31 933
由于项目中用到的Springboot版本为2.1.3,自带的jackson版本为2.9.8,低于安全版本。在项目的pom.xml中properties标签下添加jackson.version属性。2.9.10.6,所以需要升级jackson版本。修改Springboot中jackson版本。...
一文详细看懂 Jackson 框架 + 上手
qq_41826542的博客
03-13 2127
配置大全spring:jackson:# 设置属性命名策略,对应jackson下PropertyNamingStrategy中的常量值,SNAKE_CASE-返回的json驼峰式转下划线,json body下划线传到后端自动转驼峰式# 全局设置@JsonFormat的格式pattern# 当地时区# 设置全局时区# 常用,全局设置pojo或被@JsonInclude注解的属性的序列化方式。
jackson-databind版本升级问题
yinwen1999的博客
02-07 8147
最近的服务器总是报项目中的jackson-databind2.9.10.6有版本漏洞,需要升级,之后在项目的pom.xml改过之后在控制台还是有报错,最终上网查阅资料,发现了依赖的继承关系,问题解决。 项目我用的是若依系统,系统的配置文件有好多个,pom.xml有总的和下面子模块的。如图。 最开始是发现在ruoyi-admin这个子模块中调用了jackson-databind这个版本,看下图。 <!-- JSON工具类 --> <dependency> <groupI
JackSon学习笔记(一)
热门推荐
java_huashan的专栏
06-05 6万+
概述: Jackson框架是基于Java平台的一套数据处理工具,被称为“最好的Java Json解析器”。  Jackson框架包含了3个核心库:streaming,databind,annotations. Jackson版本: 1.x (目前版本从1.1~1.9)与2.x。1.x与2.x从包的命名上可以看出来,1.x的类库中,包命名以:org.codehaus.jackson
Java与Jackson反序列化漏洞深度解析
然而,不安全的反序列化可能导致安全漏洞,因为攻击者可能构造恶意输入,利用反序列化过程执行任意代码。这通常发生在应用未能充分验证输入的情况下。 Jackson库是广泛使用的JSON处理库,其反序列化功能强大而灵活...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值