Jackson反序列化漏洞CVE-2017-15095 2.9.2以下受影响 绿盟科技发布预警通告

之前在4月17日, 绿盟科技曾针对Jackson框架出现Java反序列化漏洞给出防护方案 ,随后研究员又相继发现两次Jackson反序列化漏洞,分别是CVE-2017-7525及CVE-2017-15095,本文为后者的公告信息。绿盟科技威胁预警通告全文如下:

Jackson-databind 反序列化漏洞(CVE-2017-15095)威胁预警通告

北京时间2017年11月2日,Jackson针对反序列化漏洞(CVE-2017-7525)存在遗留问题,发布了jackson-databind反序列化漏洞(CVE-2017-15095)及其相关信息,该漏洞作为CVE-2017-7525的后续,描述了更多针对jackson-databind的反序列化漏洞攻击。

7月份,绿盟科技研究员发现反序列化漏 洞(CVE-2017-7525)影响jackson-databind,该漏洞将危险的类加入黑名单可以得到缓解,官方随后发布公告,并发布了Jackson 2.8.9版本。

但在后续的2.9.1版本中,绿盟科技研究员仍旧发现了类似的问题,需要将更多危险的类以黑名单的方式进行屏蔽。该信息得到Jackson官方的确认,并决定发布新的公告说明,此漏洞CVE编号为CVE-2017-15095。

考虑到相关安全性,绿盟科技的分析将在官方补丁发布后公告,请大家关注相关信息。

相关链接:

http://www.openwall.com/lists/oss-security/2017/11/02/3

受影响的版本

  • Jackson version <= 2.9.2

解决方案

Jackson官方即将发布新版本解决该问题,请用户持续关注并及时更新来进行防护。

参考链接:

https://github.com/FasterXML/jackson-databind/releases

官方也提供了关于CVE-2017-7525与CVE-2017-15095的临时防护措施,请参考链接:

https://bugzilla.redhat.com/show_bug.cgi?id=1462702#c12

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

本文由:绿盟科技 发布,版权归属于原作者。 
如果转载,请注明出处及本文链接: 
http://toutiao.secjia.com/jackson-java-deserialization-cve-2017-15095

相关推荐

发表评论

路人甲 表情
Ctrl+Enter快速提交

网友评论(0)