fastjson、jackson databind漏洞修复记录

最新推荐文章于 2024-05-03 22:30:16 发布
最新推荐文章于 2024-05-03 22:30:16 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: 漏洞修复 文章标签: java maven spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq185067977/article/details/128984024
版权

    最近收到了腾讯云推送的fastjson(CVE-2022-25845)、jackson databind(CVE-2022-42003)漏洞,腾讯云定义的级别还挺高,现在共享下解决方案,大家自行判断,不一定适用所有项目。
    fastjson的漏洞,腾讯云有案例,让升级jar包即可,这个jar包不影响其他的,只需要提升版本就行(如果有其他的包依赖着fastjson其他版本,maven中exclusion下就可以)。
    jackson databind的漏洞,颇费了一番功夫。解决方案也是让升级jar包到2.14.0-rc2版本或以上,但是直接升级的时候有问题,springboot中的 spring-boot-starter-web 包中包含了jackson的版本(里面有个 spring-boot-starter-json,这个包里制定了jackson的相关版本),升级springboot版本或者其他方式,都对现有的项目造成了影响。所以我把 spring-boot-starter-web 包中的依赖全部copy出来了,然后升级了jackson到2.14.0-rc2,接下来需要手动引入jackson-core、jackson-annotations即可成功。
    项目运行无问题,jar的版本都符合解决方案,然后上线发布……
    声明:本人所写博客无任何权威性,解决办法是否符合自己的项目,自行判断。

Jeep牛四爷
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
最近----Spring 漏洞简版
战神/calmness的博客
04-02 5335
目录 1、(CVE-2022-22947) Springcloud GateWay远程代码执行漏洞 介绍 影响版本 原理 说明 工具 修复建议及参考链接 2、(CVE-2022-22963)spring cloud function spel表达式注入RCE漏洞 介绍 原理 影响版本 说明 工具 修复建议 3、(CVE-2022-22965)Spring-beans RCE漏洞 -核弹级 介绍 原理 影响版本 说明 工具 修复建议及参考链接 降低...
亲手带你解决Debug Fastjson的安全漏洞
10-15
《深入解析:Debug Fastjson安全漏洞修复指南》 在当今的软件开发中,JSON作为一种轻量级的数据交换格式,广泛应用于Web服务与Android应用中。其中,Fastjson因其高效的性能和便捷的API,成为了Java开发者处理JSON...
OSCS开源安全周报第13期:Exchange 高危漏洞公开
OSCS开源安全社区
10-10 3835
OSCS 社区共收录安全漏洞31个,公开漏洞值得关注的是 Apache Commons JXPath 存在代码执行漏洞CVE-2022-41852),Microsoft Exchange 远程代码执行漏洞(ProxyNotShell(CVE-2022-41040),Apache Tomcat 条件竞争漏洞CVE-2021-43980),FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞CVE-2022-42003)。
2024年网络安全最新再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报
最新发布
2401_84297455的博客
05-03 1055
熟悉A哥的小伙伴知道,自从Fastjson上次爆出重大安全漏洞之后,我彻底的投入到了Jackson的阵营,工作中也慢慢去Fastjson化。
Jackson CVE-2022-42004 拒绝服务
王嘟嘟的博客
03-12 2086
Jackson CVE-2022-42004 拒绝服务
Jackson 安全总结
王嘟嘟的博客
03-02 723
Fastjson一样,建一个专门用来总结Jackson的篇章。
logstash的jackson-databind漏洞修复
洁哥哥的博客
06-06 1347
【代码】jackson-databind漏洞修复
FasterXML Jackson-databind远程代码执行漏洞
systemino的博客
07-26 7062
近日,FasterXML Jackson-databind远程代码执行漏洞的利用方式公开。此漏洞利用FasterXML Jackson-databind的logback-core类建立JDBC连接,加载插入恶意代码的sql文件,获取服务器权限,实现远程代码执行漏洞的利用。 FasterXML Jackson-databind介绍 FasterXML Jackson是美国FasterXML公司的...
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较...
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
fastjsonjackson序列化数据的区别
12-21
fastjsonjackson序列化数据的区别直奔主题一言不合就上代码注意 直奔主题 1、fastjson将字符串反序列化为对象时,只会处理第一层,内部会序列化为JsonObject或者JsonArray,使用二级结构和三级结构时还要再次处理...
FastJson_JackSon.jar
02-23
FastJson综合工具
Centos7服务器同步网络发现漏洞修复手册(每周更新3次)
visket2008的专栏
10-18 2079
本文将长期更新基于centos7环境引起的操作系统、java、node、python等相关的漏洞修复解决方案。
CVE-2021-4034修复方法
juxua_xatu的专栏
01-27 6040
CVE-2021-4034修复方法
【安全漏洞jackson-databind漏洞、 异常NoClassDefFoundError: Could not initialize class com.fasterxml.jackson
热门推荐
开着奥迪卖小猪
07-25 1万+
一、jackson-databind漏洞 国家信息安全漏洞库:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-867 二、发现项目中有使用2.6.3版本的jackson,所以进行升级 jackson-databind 升级到2.9.9.1、 jackson...
Jackson-databind引发的漏洞问题分析
kshzhaohui的专栏
03-25 7631
前言 最近公司内部提供了一份应用高危漏洞的清单,其中提到了fastjsonjackson,因为之前对fastjson因为多态问题引发的反序列化问题有过了解,所以打算也做一个简单的分析。 漏洞简述 2020年08月27日,360CERT监测发现 jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。 br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,
漏洞修复系列】如何不安装软件或应用,直接查看软件内依赖包的版本信息?记一次漏洞修复实践分享
Yangy的博客
10-24 2281
本次修复漏洞的实践分享,就到这里啦。其实本次,主要是想记录一下如何快速找到安全版本的安装包或依赖包的经验,希望能帮助到遇到类似问题的朋友们~~另外,升级安装包或依赖包,一定要注意版本不同,可能或带来一些差异,或是报错等异常问题,所以,需要非常谨慎。建议在,开发测试环境,实践运行观察稳定之后,再切换到生产环境。避免线上出BUG,那就难搞了额!!!
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
u011250186的博客
08-10 521
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
maven升级漏洞依赖jar包
翱翔于知识的天空
12-06 8365
如果只是想打印当前项目的依赖树,最简单的方法就在在该项目(包含pom)的目录下执行maven命令,要注意的点是:1.执行的目录下必须包含pom文件,且多模块的要在父pom所在目录下执行;2.需要在powershell下执行(idea里支持) 如果想打印出来并放到一个文件里,那么可以在项目目录下执行该命令 执行完上述命令后,就可以到对应目录下找到那个文件,里面就是你项目里的所有依赖。 这里简单提供一个解析上面txt的文件并转成xml的代码 2.判断依赖是否有漏洞maven仓库上搜索对应的artifac
fastjsonjackson报错漏洞
07-27
对于fastjsonjackson,它们都曾经存在过安全漏洞的问题。 对于fastjson,它是一个高性能的Java JSON库,曾经存在过反序列化漏洞。该漏洞使得攻击者可以构造恶意的JSON字符串,通过反序列化操作来执行任意代码。为了解决这个问题,fastjson团队在后续版本中进行了修复,并推出了更加安全的版本。因此,使用较新的fastjson版本可以避免这个漏洞问题。 对于jackson,它也是一个流行的Java JSON库。在过去的一些版本中,jackson曾经存在过一些反序列化漏洞。这些漏洞使得攻击者可以通过构造恶意的JSON字符串来执行任意代码。为了解决这些问题,jackson开发团队也进行了修复,并推出了更新的版本。因此,使用较新的jackson版本可以避免这些漏洞问题。 总的来说,为了保证安全性,我们应该始终使用最新版本的fastjsonjackson,并及时更新以修复可能存在的安全漏洞。同时,还应该谨慎处理来自外部的JSON数据,避免直接将其反序列化为Java对象,以减少潜在的安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值