Jackson-databind的安全漏洞

最新推荐文章于 2024-05-16 15:14:05 发布
最新推荐文章于 2024-05-16 15:14:05 发布
阅读量2.3k 收藏 2
点赞数
文章标签: java 大数据 数据库
原文链接:http://www.cnblogs.com/mengtaoadmin/p/11243786.html
版权

今天公司发出了修复jackson-databind的安全漏洞分析,让公司统一修复,以下是过程:

一、基本描述

在2.9.9之前的FasterXML jackson-databind 2.x中发现了一个问题。为外部公开的JSON端点启用默认键入(全局或特定属性)时,该服务在类路径中具有mysql-connector-java jar(8.0.14或更早版本),并且攻击者可以托管精心设计的MySQL服务器可以访问服务器,攻击者可以发送精心设计的JSON消息,允许他们读取服务器上的任意本地文件。这是因为缺少com.mysql.cj.jdbc.admin.MiniAdmin验证。

二、修复过程

1、全盘查询项目中是否用到此jar文件,升级到2.9.9.1

三、遇到的问题

引入的maven文件中可能会包含这个jar文件,比如:logback文件中就引入的词jar文件。

本来想着是升级logback版本,对应的jackson-databind也会跟着升级,但是,想错了,并非如此。

目前解决方案是:直接引入此jar文件,覆盖其它版本即可。

 

 

 

转载于:https://www.cnblogs.com/mengtaoadmin/p/11243786.html

weixin_30426065
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jackson-databind 反序列化漏洞(CVE-2017-7525)
锋刃科技的博客
06-17 3691
漏洞原理 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。 所以,本漏洞利用条件如下: 开启 Jackso
应用安全漏洞及修复
xinpz的博客
02-20 2310
应用安全漏洞及修复 近期阿里云服务漏洞扫描,发现大量应用安全漏洞,做出安全漏洞修复方案,一般三方jar包漏洞,官方发布漏洞时,肯定已有新版本做了处理,所以我们只需要做jar版本升级即可。 漏洞处理方案 2021-02-20 漏洞处理方案 编写目的 安全漏洞如果被恶意用户利用,会造成服务器及系统被攻击利用,造成严重损失。 为保障服务及系统安全,发现的安全漏洞需要及时修复。 适用范围 研发人员,运维人员 安全漏洞 阿里云业务层面漏洞整理文档 XStream 漏洞...
Jackson使用详解
最新发布
chanyue123的博客
05-16 1180
jackson使用详解
logstash的jackson-databind漏洞修复
洁哥哥的博客
06-06 1373
【代码】jackson-databind漏洞修复。
jackson-databind-vuln:Jackson Databind漏洞
05-26
杰克逊·德宾宾·沃恩 Jackson Databind漏洞
安全漏洞jackson-databind漏洞、 异常NoClassDefFoundError: Could not initialize class com.fasterxml.jackson
热门推荐
开着奥迪卖小猪
07-25 1万+
一、jackson-databind漏洞 国家信息安全漏洞库:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-867 二、发现项目中有使用2.6.3版本的jackson,所以进行升级 jackson-databind 升级到2.9.9.1、 jackson...
Jackson-databind 反序列化漏洞(CVE-2020-36179 ~ CVE-2020-36189)
weixin_45626288的博客
12-01 3880
2021年1月7日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在多个反序列化远程代码执行漏洞(CVE-2020-36179 ~ CVE-2020-36189),利用该漏洞,攻击者可远程执行代码,控制服务器。 2020年12月17日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35490/CVE-2020-35491).
jackson-databind漏洞问题
08-01
jackson-databind-2.8.1 适用于jdk1.7 jackson-databind-2.11.2 适用于jdk1.8 jackson-databind-2.7.9.2 适用于jdk1.6
jackson-databind-2.9.9.3.jar
09-17
jackson-databind-2.9.9.3.jar 反序列化漏洞规避版本,由于jackson-databind 2.9.9.2及以下版本出现了严重的安全漏洞,所以把项目下的jackson版本提升到了2.9.9.3
jackson-databind漏洞问题
08-01
jackson-databind-2.8.1 适用于jdk1.7 jackson-databind-2.11.2 适用于jdk1.8 jackson-databind-2.7.9.2 适用于jdk1.6
jackson-databind-2.9.10.6.rar
08-28
这次我们关注的是其2.9.10.6版本,这是一个特别的发布,主要目的是修复已知的安全漏洞。 在2.9.10.6版本中,Jackson-databind针对反序列化漏洞进行了重要的修复。反序列化漏洞通常出现在应用程序将不受信任的数据...
jackson-CVE-2020-8840:FasterXMLjackson-databind远程代码执行漏洞
03-08
CVE-2020-8840 FasterXML / jackson-databind远程代码执行漏洞
Jackson-databind 反序列化漏洞(CVE-2017-7525、CVE-2017-17485)
zzzzz1284的博客
03-13 1272
CVE-2017-7525、CVE-2017-17485
CVE-2020-36189 jackson-databind java反序列化漏洞
mirocky的博客
10-13 2420
该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞,导致可执行任意命令。com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类中实现了url的输入和调用,通过可控的url进行payload的打入,即可依靠ObjectMapper的反序列化漏洞实现SSRF和RCE。,}]的形式,将对象的参数的类名打印,是json中的类名。
Jackson-databind引发的漏洞问题分析
kshzhaohui的专栏
03-25 7666
前言 最近公司内部提供了一份应用高危漏洞的清单,其中提到了fastjson和jackson,因为之前对fastjson因为多态问题引发的反序列化问题有过了解,所以打算也做一个简单的分析。 漏洞简述 2020年08月27日,360CERT监测发现 jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。 br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
u011250186的博客
08-10 550
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报
2401_83621784的博客
04-12 1729
外行看热闹,内行看门道。千万不能说Fastjson出了个漏洞,Jackson也来一个就得出结论说打平手了,那会稍显外行。正所谓假设可以大胆,但小心求证,下结论需要谨慎。总的来说,此次漏洞影响甚小,不用大惊小怪,我就继续我的Jackson之旅啦。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
2024年网络安全最新再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报
2401_84297455的博客
05-03 1096
熟悉A哥的小伙伴知道,自从Fastjson上次爆出重大安全漏洞之后,我彻底的投入到了Jackson的阵营,工作中也慢慢去Fastjson化。
jackson-databind漏洞
qq_45014160的博客
09-25 988
jackson-databind 国家信息安全漏洞库:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202008-1195 一:概要 官方发布最新版本,当中修复了一处反序列化远程代码执行漏洞(CVE-2020-24616),漏洞存在于br.com.anteros:Anteros-DBCP库类中,攻击者可以通过精心构造的请求包在受影响的 Jackson 服务器上进行远程代码执行。 二:漏洞影响范围 影响版本: jackson-databind
logstash的CVE-2021-44228漏洞如何修复
06-02
CVE-2021-44228是Logstash的一个严重漏洞,也被称为Log4j漏洞。它存在于Logstash的Log4j核心依赖项中,允许攻击者通过发送特殊构造的数据包来执行任意代码。为了修复该漏洞,需要采取以下措施: 1.升级Log4j版本:首先,升级Log4j版本至2.15.0或更高版本,因为这些版本已经修复了该漏洞。 2.禁用JNDI:如果您无法立即升级Log4j版本,可以禁用JNDI(Java Naming and Directory Interface)来防止攻击者利用该漏洞。在Logstash的Java命令行中添加以下参数: -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.disable.jmx=true 这将禁用Log4j中的JNDI查找。 3.更新Logstash配置:如果您已经升级了Log4j版本,还需要更新Logstash配置文件以使用新版本。在配置文件中,更新Log4j的版本号为2.15.0或更高版本。 尽快修复CVE-2021-44228漏洞非常重要,因为该漏洞可能会导致严重的安全威胁和数据泄露。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值