阿里云 MyBatis 远程代码执行漏洞(CVE-2020-26945)修复

最新推荐文章于 2024-02-09 22:48:00 发布
最新推荐文章于 2024-02-09 22:48:00 发布
阅读量7.8k 收藏 5
点赞数 2
文章标签: java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hvang1988/article/details/120902947
版权

阿里云 MyBatis 远程代码执行漏洞(CVE-2020-26945)修复

1、漏洞详情

【安全通报】MyBatis 远程代码执行漏洞(CVE-2020-26945)|NOSEC安全讯息平台 - 白帽汇安全研究院

波及 mybatis.jar版本 小于<3.5.6

2、漏洞利用前提条件

在满足以下三个条件的时候,攻击者可以触发远程代码执行:
​
1、用户启用了内置的二级缓存
​
2、用户未设置JEP-290过滤器
​
3、攻击者找到了一种修改私有Map字段条目的方法,
  即修改org.apache.ibatis.cache.impl.PerpetualCache.cache有效的缓存密钥

3、关于JEP-290过滤器

关于jdk是否启用JEP-290过滤器:
https://blogs.oracle.com/java/post/filter-incoming-serialization-data-a-little-of-jdk-9-goodness-available-now-in-current-release-familieshttp://https://blogs.oracle.com/java/post/filter-incoming-serialization-data-a-little-of-jdk-9-goodness-available-now-in-current-release-familieshttp://https//blogs.oracle.com/java/post/filter-incoming-serialization-data-a-little-of-jdk-9-goodness-available-now-in-current-release-families
​
部分摘录:
   The feature is available in JDK 9 early access builds but since we wanted users of current versions to have this capability it has already been back ported to the JDK and JRE updates released with the Jan 2017 Critical Patch Update (8u121, 7u131, and 6u141).   See the release notes for the corresponding releases for further information. 
​
意思:
 jdk7从7u131开始已经内置JEP-290过滤器
 jdk8从8u121开始已经内置JEP-290过滤器
 jdk9 是jdk9开始的新特性,所以jdk9及之后都内置了该特性

4、是否修复

java -version > Java version "1.8.0_201"    版本大于8u121 无需修复 ,忽略漏洞

5、快速修复漏洞提示

 升级mybatis到3.5.6及以上,解决漏洞提示。
hvang1988
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
远程命令执行漏洞总结
2201_75857869的博客
02-09 379
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。fastjson.jar是阿里开发的一款专门用于Java开发的包,可以方便的实现json对象与JavaBean对象的转换,实现JavaBean对象与json字符串的转换,实现json对象与json字符串的转换。除了这个fastjson以外,还有Google开发的Gson包,其他形式的如net.sf.json包,都可以实现json的转换。方法名称不同而已,最后的实现结果都是一样的。
CVE-2020-26945(Mybatis远程代码执行漏洞)
一支花傲寒的博客
11-21 1537
CVE-2020-26945(Mybatis远程代码执行漏洞)
MyBatis 远程代码执行漏洞CVE-2020-26945
aq_money的博客
06-21 4286
mybatis缓存 报错 MyBatis组件介绍 MyBatis 本是Apache的一个开源项目iBatis, 2010年这个项目由Apache Software Foundation 迁移到了Google Code,并且改名为MyBatisMyBatis是一款优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Ord
安装达梦 8.1.2.192,mybatis-3.4.2.jar文件 高危漏洞 CVE-2020-26945 涉及图形界面工具和DEM
curating的博客
06-30 1013
安装达梦 8.1.192,mybatis-3.4.2.jar文件 高危漏洞 CVE-2020-26945 测试mybatis-3.5.13.jar替换可用
网络安全必学SQL注入
dzqxwzoe的博客
06-20 729
SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何防御SQL注入,首先我们要学习它的原理。针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。其成因可以归结为以下两个原因叠加造成的:程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。注入攻击的本质,是把用户输入的数据当做代码执行
【Web】基于Mybatis的SQL注入漏洞利用点学习笔记
uuzeray的博客
02-09 1365
① #{} 是预编译参数,表示使用 PreparedStatement 时,使用 setXXX() 方法设置参数值,会对传入的参数进行类型处理,确保传递的参数类型正确。② ${} 存在 SQL 注入问题,因为 SQL 语句中插入的是传入的参数值,如果参数值中包含 SQL 语句的关键字或特殊字符,可能会导致 SQL 注入攻击。① #{} 可以避免 SQL 注入问题,因为它会对传入的参数进行类型处理,并将参数值转义后再放到 SQL 语句中,保证了 SQL 语句的安全性。在 MyBatis 中,
mybatis自动生成代码的模板--freemarker版本.zip
03-11
附件包含了mybatis-plus自动生成代码,基于freemarker的模板。包括常规的curd。 【特点】针对每个接口都有对应的入参和出参,不公用entity。 如,add接口,则入参会自动生成为addEntityReq。具体可下载模板进行查看...
MyBatis-Plus入门+MyBatis-Plus文档手册 中文pdf高清版.rar
11-09
mybatis在持久层框架中还是比较火的,一般项目都是基于ssm。虽然mybatis可以直接在xml中...《MyBatis-Plus入门文档》主要介绍了MyBatis-Plus入门使用,以及关于mybatis-plus的更多介绍及特性,感兴趣的可以下载学习一下
mybatis-spring-boot-starter初探 代码.zip
04-30
关于mybatis的spring boot可执行代码,对应的解说博客地址在:https://blog.csdn.net/heidashou/article/details/105812796,含有全过程截图和解说。
mybatis-plus-boot-starter-3.1.0.jar
最新发布
04-13
mybatis-plus-boot-starter.jar 各个版本下载, SpringBoot 集成 MybatisPlus jar 包下载, Mybatis-Plus(简称MP)是一个基于MyBatis的增强工具库,它简化了与数据库的交互操作并提供了一系列增强功能,使开发者...
mybatis-3.3.0jar包
06-06
mybatis-3.3.0版本所需要的jar包,都在里面,搭建mybatis环境方法可以参考我的博客:http://blog.csdn.net/eson_15/article/details/51592608
mybatis版本:3.5.6(jdk1.8(含)及以上)、3.4.6(jdk1.8以下)
11-18
两版mybatis,根据jdk版本选择使用哪一版,mybatis版本:3.5.6(jdk1.8(含)及以上)、3.4.6(jdk1.8以下)
mybatis-plus 达梦 代码生成
06-10
提供修改数据库地址后可直接使用的代码,提供达梦7的驱动包 提供所需maven以来 驱动包放置仓库位置等
Mybatis中会引起sql注入风险的问题
flytalei的博客
06-12 2085
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
[CVE-2020-26945]mybatis二级缓存反序列化漏洞
公众号shadow sock7
10-14 2553
参考: https://github.com/mybatis/mybatis-3/compare/mybatis-3.5.5…mybatis-3.5.6 https://github.com/mybatis/mybatis-3/pull/2079 CVE-2020-26945 mybatis二级缓存反序列化的分析与复现
深入浅出 最新版 MyBatis-3.5.6_ 8. MyBatis 缓存
胖子胖子大胖子的博客
03-02 1286
我们不难知道,数据是存储在计算机硬盘上,如果我们频繁的从数据库读取数据,时间长了会造成数据库堵塞,IO 开销高了之后,性能大打折扣。 所以为了能够减少从数据库读取,我们引入了缓存这个东西。 MyBatis 中提供了两种缓存,一级缓存和二级缓存。 一、MyBatis 一级缓存 MyBatis 中默认是开启一级缓存的,而一级缓存是 SqlSession 级别的缓存。 我们学习的时候,需要构建 SqlSession,而在这个对象中有一个数据结构( HashMap ),用于存储缓存数据。并且不同的sqlS
排查分析:mybatisplus升级3.x后,xml映射入参对象异常
万事屋
05-27 925
mybatis升级3.x后问题修改
Mybatis详解
江南、寻你的博客
08-27 786
MyBatis 是一款优秀的持久层框架它支持自定义 SQL、存储过程以及高级映射。MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作。MyBatis 可以通过简单的 XML 或注解来配置和映射原始类型、接口和 Java POJO(Plain Old Java Objects,普通老式 Java 对象)为数据库中的记录。MyBatis本是apache的一个开源项目iBatis,2010年这个项目。...
Mybatis 框架下易产生 SQL 注入漏洞的三种情况
SuZhan0711
09-27 1191
这种场景应当在 Java 层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在 mybatis-generator 自动生成的 SQL 语句中,order by 使用的也是 $,而 like 和 in 没有问题。这样如果 Java 代码层面没有对用户输入的内容做处理势必会产生 SQL 注入漏洞。在这种情况下使用「#」 程序会报错,新手程序员就把「#」 号改成了「$」
mybatis-plus和mybatis-plus-core的区别
11-22
mybatis-plus和mybatis-plus-core是MyBatis-Plus框架的两个核心模块,它们之间有以下区别: 1. mybatis-plus是MyBatis-Plus框架的主要模块,提供了许多增强功能和工具类,用于简化MyBatis开发。它包含了mybatis-plus-core模块以及其他一些模块,如mybatis-plus-generator用于代码生成、mybatis-plus-spring-boot-starter用于与Spring Boot集成等。 2. mybatis-plus-core是MyBatis-Plus框架的核心模块,它提供了一些基本的增强功能,如通用Mapper、分页插件、逻辑删除等。它是mybatis-plus模块的基础,其他模块都依赖于它。 总结来说,mybatis-plus是MyBatis-Plus框架的主要模块,包含了mybatis-plus-core模块以及其他一些模块,提供了许多增强功能和工具类;而mybatis-plus-core是MyBatis-Plus框架的核心模块,提供了一些基本的增强功能,是其他模块的基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hvang1988

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值