【处置手册】Jackson-databind远程代码执行漏洞处置手册(CVE-2017-17485)

Jackson-databind在2018年初又被爆出了一个远程代码执行漏(CVE-2017-17485),受影响的版本有:2.9.3、2.7.9.1、2.8.10及之前的版本。该漏洞是由于Jackson黑名单过滤不完整,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。目前针对该漏洞利用的POC已经公开,请受影响的用户及时更新版本进行修复。

【预警通告】Jackson-databind 反序列化漏洞(CVE-2017-15095)

北京时间2017年11月2日,Jackson针对反序列化漏洞(CVE-2017-7525)存在遗留问题,发布了jackson-databind反序列化漏洞(CVE-2017-15095)及其相关信息,该漏洞作为CVE-2017-7525的后续,描述了更多针对jackson-databind的反序列化漏洞攻击。   7月份,绿盟科技研究员发现反序列化漏 洞(CVE-2017-7525)影响jackson-databind,该漏洞将危险的类加入黑名单可以得到缓解,官方随后发布公告,并发布了Jackson 2.8.9版本。   但在后续的2.9.1版本中,绿盟科技研究员仍旧发现了类似的问题,需要将更多危险的类以黑名单的方式进行屏蔽。该信息得到Jackson官方的确认,并决定发布新的公告说明,此漏洞CVE编号为CVE-2017-15095。