mysql漏洞如何打补丁_Jackson存在致命漏洞,可导致服务器文件被恶意窃取

最新推荐文章于 2024-05-15 13:29:41 发布
最新推荐文章于 2024-05-15 13:29:41 发布
阅读量332 收藏
点赞数
文章标签: mysql漏洞如何打补丁 用java读取ini文件(带section的)

上周升级完Fastjson之后,准备去了解下Jackson是否也有相关的漏洞。

果不其然,看到了一个issue

37ce4ad54e9702e7eea4c53586a95d29.png

虽然这个issue是好几个月前的了,但是可能大家对Jackson比较不在意,以为国外的开源要牛逼一点,不会像Fastjson那么多问题,这里要纠正一点,fastjson之所以问题多,那是因为你接触的多,Jackson的问题其实也不少,只是你接触的少。

就拿这种issue的问题来说,这个漏洞也很严重,攻击者可以通过构造特殊的字符串,然后在特定条件下可以悄无声息的窃取你服务器上的文件数据。

可怕不?但是恐怕知道的人不多,很多服务还是依赖着低版本的Jackson,也没升级。

解释下到底是什么漏洞,这么危险!

如果服务中依赖了 Jackson 2.9.9 之前的版本,且同时依赖了mysql-connector-java,那么这个服务所在机器上的文件,就可能被任意窃取。

下面是具体原理分析。

先看下Json序列化对多态性的处理方式

3a78e5e0a3e4478ddb2276e7019c2460.png

序列化之后

00072e8475310902dd2a465bbcf7820f.png

序列化后类型消失,反序列化时因为Pet是抽象类,不知道该创建哪一个子类的对象。

但是Jackson提供了Default Typing,在开启的时候,可以序列化出更具体的类型。

6b22d5ad2d238491c08d89d9951fc509.png

得到的结果:

f4dcf7f4cf08e41acd74eaa4e6792554.png

所以,Jackson在开启Default Typing特性之后,就可以初始化一个具体的实例。

这个讲完之后,我们看下漏洞的最终元凶,MySQL的一个特殊用法:支持使用LOAD DATA LOCAL INFILE这样的语法,只要客户端连上某个MySQL服务,就可以把客户端本地文件的数据插入到这个MySQL的某个表中。

大概过程是这样的:

  • 用户在客户端输入:load data local infile "/data.csv" into table test;
  • 客户端=>服务端:我想把我本地的/data.csv文件插入到test表中;
  • 服务端=>客户端:把你本地的/data.csv发给我;
  • 客户端=>服务端:/data.csv文件的内容;

这里有一个问题,客户端发送哪个文件的内容,取决于第3步,如果服务端是个恶意的MySQL服务,那么他可以读取客户端的任意文件,比如读取/etc/passwd:

  • 用户在客户端输入:load data local infile "/data.csv" into table test;
  • 客户端=>服务端:我想把我本地的/data.csv文件插入到test表中;
  • 服务端=>客户端:把你本地的/etc/passwd发给我;
  • 客户端=>服务端:/etc/passwd文件的内容;

然后密码文件的内容就这样被嫖了。

引用MySQL官方文档如下:

In theory, a patched server could be built that would tell the client program to transfer a file of the server's choosing rather than the file named by the client in the LOAD DATA statement.

理论上,可以构建一个伪装服务器,它将告诉客户端传送一个服务指定的而不是通过客户端LOAD DATA语句指定的文件,意味着,我要什么,你就得给我什么,所以所有文件都可能泄露。

具体如何让服务中的MySQL客户端可以听我指挥,连到我预谋已久的MySQL服务呢?

首先,在MySQL的JDBC驱动中有一个创建连接的配置 allowLoadLocalInfile,控制是否可以从本地读取文件,默认是可以的。

另外,不知道从哪个版本开始,MySQL的JDBC驱动多了一个类 com.mysql.cj.jdbc.admin.MiniAdmin,可能没什么人用过,平时也用不到,但是它的牛逼之处在于可以创建一个到执行URL的JDBC连接。

a1911991e48ae64b48c5cf09745e8f76.png

想想,如果这个URL是我的那个伪装的MySQL服务,是不是就可以控制这个客户端轻松练上来,然后做一些不为人知的事情了。

事实上,确实可以。通过Jackson的反序列化特殊字符串,可以触发MiniAdmin的初始化,然后就在构造方法里创建一个到指定我MySQL服务的JDBC连接。

我们动手创建一个恶意的MySQL服务,可以使用 https://github.com/Gifts/Rogue-MySql-Server,这个服务会读取客户端文件,并写入到mysql.log中。

启动服务,假设服务地址为:X.X.X.X.

e02450247aa8e87b10fd189af264d938.png

端口号和文件号在Rogue-MySql-Server中定好了,在客户端中执行如上代码,机器上的c:windowswin.ini文件内容就会出现在mysql.log中。

在实际的生产环境中,可以通过往一些接受JSON参数的接口发送恶意的JSON字符串来达成攻击的目的。

在MySQL方面,从8.0.15开始已经将allowLoadLocalInfile默认值设置为false。

0f62270836600cbd76b9f16fe8540b64.png

在Jackson方面,从2.9.9版本开始,将 com.mysql.cj.jdbc.admin.MiniAdmin加入反序列化黑名单

怎么保护自己的系统

1、反序列化的坑,很大!需要尽量避免使用Object对象作为Jackson反序列化的目标。

2、序列化工具,该升级的要升级,不能拖!

weixin_39966740
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
32位jdk_windows 10 安装 jdk
weixin_39953356的博客
11-10 1311
1、首先要下载 jdk 的安装包oracle 官网地址如下:www.oracle.com/technetwork/java/javase/downloads/index.html打开网站后,可以看到不同版本的 jdk,大家可以自行选择。如果不知道选择哪个版本的小伙伴,可以跟我一样,直接选择 jdk8 进行安装。点击下载 JDK,会出现如图所示的下载界面,然后选择对应的版本,下载即可。我使用的是 w...
jackson jdk版本对应关系_Jackson:10分钟弄明白Jackson
weixin_39665847的博客
12-19 4025
小吐槽下,官网文档有点混乱。这里整合了两个比较好的教程,依照流程走下去,会掌握jackson的使用方法。如果需要更详细的使用,可点击文章中链接去查看原始教程,和官方说明描述java流行的JSON library。Jackson是一系列java数据处理工具(data-processing tools),包括流式的json解析/生成库(streaming JSON parser/generator l...
初识Jackson——世界上最好的JSON库
chijiansong的博客
12-03 990
初识Jackson——世界上最好的JSON库 一个工程仅需一个JSON库 Java的JSON库,你至少应该用过/听过这三种:Jackson、Gson、Fastjson。一个独立的工程,按照依赖最少原则,本应该only one JSON库是足矣的。但现状是:各位同仁可观察观察各自的项目,大都同时存在2种JSON库,亦或者3种甚至更多... 说明:在同一个工程内,同一功能若有多种实现,实属不好的现象。这会让管理起来显得混乱(譬如对日期的格式化就不方便做到统一),出口若有多个,想收口时就是个大难题了.
MySQL补丁下载及安装
最新发布
qq_32166533的博客
05-15 969
在使用MySQL数据库时,及时更新和安装MySQL补丁是非常重要的,可以提升系统的稳定性和安全性。假设我们当前使用的MySQL版本是5.7.30,我们可以在MySQL官方网站的下载页面上找到对应版本的补丁文件进行下载。在使用MySQL数据库时,为了确保系统的稳定性和安全性,我们需要定期更新和安装MySQL补丁。得到MySQL版本信息后,我们可以在MySQL官方网站的下载页面上找到对应版本的补丁文件进行下载。在下载MySQL补丁之前,我们需要先确认我们正在使用的MySQL版本。希望本文对您有所帮助。
jackson最新使用手册
weixin_39296233的博客
05-16 2082
jackson包含Jackson Data Processor的通用数据绑定功能和树模型。它建立在Streaming API(流解析器/生成器)包之上,并使用Jackson Annotations进行配置。项目在Apache License 2.0下获得许可。虽然Jackson的原始用例是JSON数据绑定,但只要存在解析器和生成器实现,它现在也可以用于读取以其他数据格式编码的内容。类的命名在很多地方都使用了“JSON”这个词,尽管对JSON格式并没有实际的硬性依赖。
jackson-databind 版本升级遇到的问题
1392252267@qq.com
09-15 7376
本想着此次升级会很简单,但是在操作后发现有点想的简单了。 1、spring-boot-starter-parent 导致的 jackson-databind-2.8.11.2 -> 2.9.10.6 Caused by: java.lang.NoClassDefFoundError: Could not initialize class com.fasterxml.jackson.databind.ObjectMapper 参考自 SpringBoot 因为jackson版本问题启动失败 2、e.
MySQL曝中间人攻击Riddle漏洞可致用户名密码泄露的处理方法
12-16
允许攻击者在中间人位置使用Riddle漏洞破坏MySQL客户端和服务器之间的SSL配置连接。”漏洞描述写道。“此漏洞是一个非常危险的漏洞,因为首先它会影响MySQL – 非常流行的SQL数据库 – 其次会影响SSL连接,根据SSL的...
最新MySQL数据库漏洞情况通报
12-15
这个漏洞主要存在MySQL的配置文件(my.cnf),允许攻击者篡改配置文件,进而以管理员权限执行任意代码,可能导致服务器被远程控制。 漏洞的利用机制在于MySQL服务运行时的两个进程,一个是具有管理员权限的进程,...
weblogic_mysql_jdbc漏洞修复补丁包2
12-16
【标题】"weblogic_mysql_jdbc漏洞修复补丁包2" 涉及的主要知识点是WebLogic服务器的安全性,特别是针对MySQL JDBC驱动程序的漏洞修复。WebLogic是Oracle公司的一款企业级Java应用服务器,用于部署和管理Java应用...
weblogic_mysql_jdbc漏洞修复补丁包1
12-16
【标题】"weblogic_mysql_jdbc漏洞修复补丁包1" 涉及的主要知识点是WebLogic Server的安全性,特别是针对MySQL JDBC驱动程序的漏洞修复。WebLogic Server是由Oracle公司提供的一个企业级Java EE应用服务器,它用于...
JDK 9 模块化系统 (Java Platform Module System) 和 多版本兼容 Jar (Multi-Release Jar)
mrathena
12-06 1709
基本上,您有一个标准的JAR文件,像往常一样,在根目录中包含应用程序中的所有类,在META-INF中还有一个额外的 “versions” 文件夹,其中包含每个额外支持的Java版本的特定实现(在本例中,只有Java 9)。, 那么这个 Jar 就是一个多版本兼容 Jar 了, 在不同的 Java 环境下, 会自动选择合适版本的类. 这里有一个隐藏规范, 就是多个版本的类的 API 需要完全一致, 这个不是必须, 但是建议一致, 不然在使用中可能会出问题。从Java 9开始,还有一种选择。
jackson 1.9.13
01-04
Jackson 1.9.13
Fastjson介绍
热门推荐
wutongyu344的专栏
03-05 3万+
简介 Fastjson是一个Java语言编写的高性能功能完善的JSON库。 高性能 fastjson采用独创的算法,将parse的速度提升到极致,超过所有json库,包括曾经号称最快的jackson。并且还超越了google的二进制协议protocol buf。 支持标准 Fastjson完全支持http://json.org的标准,也是官方网站收录的参考实现之一
Jackson 配置支持解析JDK8 时间类型
lvyuanj的专栏
03-15 259
Jackson 配置支持解析JDK8 时间类型
Jackson 反序列化漏洞原理
王嘟嘟的博客
02-28 2867
Jackson 最基础的功能就是将制定的类 序列化 to json,然后json to 序列化的这样一个工具第三方库,正常情况下因为需要执行类进行转换,所以除非是故意留有后门,否则是不会出现问题的。但是为了处理一个情况,就是处理未知的json转换的时候,需要对多种场景进行处理。于是就有了Jackson多态机制。如:需要处理多个子类的情况。那么当json中的指定的类的seter或者无参构造方法中存在可利用点的时候,就会造成有效的反序列化攻击。也就是需要找的反序列化调用链。
jackson jdk版本对应关系_JDK JRE JVM的关系
weixin_39556853的博客
12-03 817
点击上方“ Java资料站”,选择“标星公众号”优质文章,第一时间送达JDKJDK是(Java Development Kit)的缩写,指的是JAVA软件开发工具包(SDK)。JDK是整个java开发的核心,它包含了JAVA的运行环境(JVM+JAVA系统类库)和JAVA工具。在目录下面有四个文件夹、一个src类库源码压缩包和几个声明文件。其他四个文件夹分别是:bin、include、...
基于Jackson实现API接口数据脱敏
tianmaxingkonger的专栏
06-01 1273
Jackson是SpringBoot默认的Json序列化和反序列化库,本文通过使用Jackson的@JsonSerialize注解实现序列化时脱敏操作,通过使用Jackson的@JsonDeserialize注解实现反序列化时脱敏数据检测并丢弃操作。API接口出参(Rsp),敏感数据序列化时脱敏API接口入参(Req),过滤已脱敏的数据,直接丢弃。
fastjson包版本与jdk版本不符合
u012558695的博客
10-28 6822
fastjson序列化的时候抛出异常 java.lang.IncompatibleClassChangeError: Found interface com.ins.car.common.dto.ICarInfo, but class was expected https://github.com/alibaba/fastjson/issues/830 解决 ...
jersery集成jackson实现restful api,由于jdk版本不一致导致的坑
冰封骑士的专栏
10-22 2958
问题背景 项目中使用jersey+jackson实现 restful api,返回信息格式为json,开发测试环境都是OK的,然鹅在线上当访问时一直报500,错误信息如下: com.sun.jersey.spi.container.ContainerResponse write : The registered message body writers compatible with the MI...
mysql数据库漏洞怎么打补丁
09-06
要修补MySQL数据库的漏洞,可以按照以下步骤进行: 1.了解漏洞:首先,需要通过与漏洞相关的官方通告、安全论坛或安全厂商提供的信息来了解漏洞的细节、威胁等级和潜在的影响。 2.升级数据库:查找当前安装的MySQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值