jackson 序列化_漏洞通告 | Jackson反序列化安全漏洞(CVE202024616)

最新推荐文章于 2024-05-15 05:42:11 发布
最新推荐文章于 2024-05-15 05:42:11 发布
阅读量516 收藏
点赞数
文章标签: jackson 序列化 不安全的反序列化

b5dcc87e62aab3745bade8b54d83c677.png

漏洞背景

山石网科安全研究院监测发现jackson-databind发布了反序列化漏洞通告,漏洞编号为CVE-2020-24616,经过分析研判该漏洞为高危,建议广大用户及时修复补丁。

漏洞详情

jackson是一款流行的json解释器,主要负责处理Json的序列化和反序列化。jackson核心模块由三部分构成:

  1. jackson-core - 核心包

  2. jackson-annotations - 注解包

  3. jackson-databind - 数据绑定包

br.com.anteros:Anteros-DBCP库中存在新的发序列化利用链,可以绕过jackson-databind的黑名单限制,攻击者通过发送特制的请求包可以造成远程代码执行。

影响版本

  • <2.9.10.6

解决方案

  • 升级至最新版本 jackson-databind 2.9.10.6

参考信息

https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6

https://github.com/FasterXML/jackson-databind/issues/2814

山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月,是山石网科的信息安全智库部门,其前身是原安全服务部下的安全研究团队。山石安研院整体架构包括干将、莫邪两大安全实验室,以及安全预警分析、高端攻防培训两支独立的技术团队。安研院主要负责反APT跟踪和研究、出战及承办全球攻防赛事、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。

自2015年以来为多省公安厅提供技术支撑工作,为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩,网安中国行第一名,连续两届红帽杯冠军、网鼎杯线上第一名,在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩,每年获得大量的CNVD、CNNVD、CVE证书或编号。

如需帮助请咨询 hslab@hillstonenet.com

8a8cf78e3ecc7dceafc63d3be56addba.png

weixin_39777540
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[JAVA安全]JACKSON反序列化
snowlyzz的博客
01-28 2034
JACKSON反序列化原理
jackson最新使用手册
weixin_39296233的博客
05-16 2080
jackson包含Jackson Data Processor的通用数据绑定功能和树模型。它建立在Streaming API(流解析器/生成器)包之上,并使用Jackson Annotations进行配置。项目在Apache License 2.0下获得许可。虽然Jackson的原始用例是JSON数据绑定,但只要存在解析器和生成器实现,它现在也可以用于读取以其他数据格式编码的内容。类的命名在很多地方都使用了“JSON”这个词,尽管对JSON格式并没有实际的硬性依赖。
jackson-databind升级2.7版本到2.10.0
热门推荐
m0_37558251的博客
05-20 1万+
1.直接修改jackson-databind的版本号为2.10.0 启动报错,找不到类。 2.升级版本号同时加上jackson-core依赖 <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-databind</artifactId> <version>2.10.0</version> &lt
网络安全最新再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报(3),2024年最新看完直呼内行
最新发布
2401_84302369的博客
05-15 791
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Android移动安全攻防实战 第四章 MobSF移动安全框架
v_3483608762的博客
09-05 1365
MobSF
Android安全攻防指南_硬件层的攻击_编程案例解析实例详解课程教程.pdf
05-05
对于各种各样的移动硬件平台,Android 有很好的可移植性和通用性,因此在移动领域几乎无处不在,取得了巨大的成功。Android 的可移植性和灵活性还使其成为了不错的嵌入式设备操作系统。Android 开放、可定制性强,更容易快速开发出可视化用户界面,这些优点与其他嵌入式 Linux 系统、实时操作系统和私有操作系统相比尤为明显。目前,Android 已经成为各类新型嵌入式设备中操作系统的事实标准,被广泛用于电子书阅读器、机顶盒娱乐系统、飞机机载娱乐系统、“智能”电视、室内气候控制系统、销售系统等设备中(这里只列举了一些常见设备)。由于 Android 在众多类型的设备上运行,本章会尽可能介绍对这些设备的硬件进行攻击和逆向的技术。
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)
09-14
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它涉及到组件T3协议处理中的对象反序列化过程。该漏洞允许攻击者通过构造恶意的T3请求,远程执行任意代码,从而...
JAVA及Jackson反序列化漏洞.docx
07-27
反序列化漏洞通常出现在不安全反序列化操作中,攻击者可以通过构造恶意的序列化数据,使得在反序列化过程中执行非预期的代码。例如,当应用程序没有对反序列化的输入进行充分的验证和过滤时,攻击者可以注入恶意...
WebLogic反序列化_CVE-2017-3248
09-06
WebLogic反序列化_CVE-2017-3248 java -jar weblogic_cmd.jar -C pwd -H 192.168.1.1 -P 7001 工具使用方法: -B Runtime Blind Execute Command maybe you should select os type -C <arg> (执行命令)Execute ...
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
在2017年,它被发现存在一个严重的安全漏洞,被称为CVE-2017-12149,这是一个反序列化漏洞,允许远程攻击者通过精心构造的输入来执行任意系统命令,从而对受影响的系统造成严重威胁。 反序列化是将已序列化的对象...
weblogic 漏洞统计 CVE
09-18
4. CVE-2014-2480、CVE-2014-2481、CVE-2014-4256等:这些2014年的漏洞同样涉及反序列化问题,可能导致服务器遭受拒绝服务攻击或者代码执行。 5. CVE-2014-4242、CVE-2014-4253、CVE-2014-4267至CVE-2014-4255、CVE...
关于虚拟机的逃逸技术
08-15
虚拟机让我们能够分享主机的资源并提供隔离。在理想的世界中,一个程序运行在虚拟机里,他应该无法影响其他虚拟机。不幸的是,由于技术的限制和虚拟化软件的一些bug,这种理想世界并不存在。在某些情况下,在虚拟机里运行的程序会绕过底层,从而利用宿主机,这种技术叫做虚拟机逃逸技术,由于宿主机的特权地位,其结果是整个安全模型完全崩溃。这也就是说,你在虚拟机上测试病毒、恶意软件,这些东西如果设计好的话,就会通过虚拟机进入你的系统!!! 从虚拟机中逃逸 虚拟环境的安全威胁已由理论变为现实 从虚拟机中逃逸,一直以来被看作类似于一种黑色操作。你不断的能听到研究人员们研究一些恶意软件样本的传言,而这些恶意软件可以从虚拟客户机逃逸到主机里。与此同时,其他研究人员也在研究一些允许攻击者从虚拟机中逃逸的漏洞
VENOM cve-2015-3456 Qemu 虚拟机逃逸漏洞win平台exe利用工具
11-29
VENOM cve-2015-3456 Qemu 虚拟机逃逸漏洞POC,可以实行堆溢出攻击。
【Java Web 安全jackson漏洞探究、利用、预防
qqchaozai的专栏
08-15 4736
前言 阿里云安全公告:2019年7月31日,阿里云应急响应中心监测到有安全研究人员披露Jackson最新反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439)。同事说怎么jackson这类的json序列化库经常报漏洞,而且基本都是高危漏洞,这些漏洞到底怎么来的,jackson的开发程序员就这么不靠谱么?改不完的BUG?这篇文章就让我们走进jackson的世界,感受...
[Java反序列化]—Jackson反序列化
Sentiment的博客
11-12 6021
DefaultTyping类型描述说明属性的类型为Object属性的类型为Object、Interface、AbstractClass属性的类型为Object、Interface、AbstractClass、ArrayNON_FINAL所有除了声明为final之外的属性其实原理上很简单,就是在Jackson进行反序列化时执行了构造器和setter方法,造成恶意代码执行,但其实这种方式也只是本地调试了解原理用,并不适合作为实际攻击方式,真正的攻击还要看其它Jackson的调用链。
漏洞情报|Jackson-databind反序列化漏洞风险通告(CVE-2020-35490,CVE-2020-35491)
Gblfy_Blog
11-05 2510
反序列化漏洞
耗时精心整理的Android核心知识点姗姗来迟(建议收藏)
10-13 2898
目录: Java 基础&容器&同步&设计模式 Java 虚拟机&内存结构&GC&类加载&四种引用&动态代理 网络 Android 基础&性能优化&Framwork Android 模块化&热修复&热更新&打包&混淆&压缩 音视频&FFmpeg&播放器 1、Java 基础&容器&同步&设计模式 StringBuilder、StringBuffer、
jackson 反序列化string_Jackson反序列化远程代码执行漏洞(CVE202024616)的安全通告
weixin_39849127的博客
12-02 187
漏洞详情2020年8月27日,jackson-databind 官方发布了 jackson-databind 序列化漏洞的风险通告漏洞编号为 CVE-2020-24616 。jackson-databind 是一套开源 java 高性能 JSON 处理器,受影响版本的 jackson-databind 中缺少黑名单类。如 br.com.anteros:Anteros-DBCP,可以绕过...
Jackson框架出现Java反序列化漏洞 2.7.10 及2.8.9以下版本受影响 绿盟科技发布防护方案...
weixin_33726318的博客
09-01 1812
Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象,在2017年3月份,fastjson 1.2.24之前版本曾经出现过严重漏洞。而更早的时候,Java反序列化漏洞问题曾经一度让大家心惊肉跳,这次是Jackson框架 2.7.10 及2.8.9以下版本出现任意代码执行漏洞,攻击者利用该...
jackson 序列化_安全通告jackson-databind序列化漏洞(CVE-2020-24616)
05-19
是的,jackson-databind 序列化漏洞(CVE-2020-24616)是一个安全问题,可能会导致远程代码执行。该漏洞存在于 jackson-databind 库中,该库是一个流行的 Java 序列化/反序列化库,广泛用于各种应用程序和框架中。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值