Jackson < 2.9.9.1 反序列化远程代码执行漏洞(CVE-2019-12384)

 
1 120
域名注册
2019-07-24 10:25

2019年7月23日,阿里云应急响应中心监测到有安全研究人员披露Jackson < 2.9.9.1 存在反序列化远程代码执行漏洞(CVE-2019-12384),利用可导致远程执行服务器命令,官方git已发布公告说明,请使用到Jackson的用户尽快升级至安全版本。


漏洞描述

Jackson是一套开源java高性能JSON处理器,其在反序列化处理JSON格式时存在疵瑕,当用户提交一个精心打造的恶...

来源:阿里云

本文内容由互联网用户自发贡献,版权归作者所有,本站不拥有所有权也不承担相关法律责任。如需转载请按以下形式注明来源: 复制

文章来源:阿里云牛优惠资讯网
文章标题:Jackson < 2.9.9.1 反序列化远程代码执行漏洞(CVE-2019-12384)
原文地址:https://aliyunnew.com/a/Jackson-lt-2991-Deserialized-Remote-Code-Execution-Vulnerability-CVE201912384.html
发布时间:2019-07-24 10:25
相关话题
没有相关话题
猜您喜欢
回帖
  • 半岛荼靡
    2019-07-24

    Jackson是一个开源的 Java 序列化与反序列化工具,可以将java对象序列化为 xml 或 json 格式的字符串,或者反序列化回对应的对象,由于其使用简单,速度较快,且不依靠除JDK外的其他库,被众多用户所使用。

    官方修复方式:

    官方在漏洞产生后,通过黑名单的方式禁止黑名单中的第三方库因为反序列化问题而产生的代码执行漏洞。

    黑名单如下:

    org.apache.commons.collections.functors.InvokerTransformer

    org.apache.commons.collections.functors.InstantiateTransformer

    org.apache.commons.collections4.functors.InvokerTransformer

    org.apache.commons.collections4.functors.InstantiateTransformer

    org.codehaus.groovy.runtime.ConvertedClosure

    org.codehaus.groovy.runtime.MethodClosure

    org.springframework.beans.factory.ObjectFactory

    com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl

    0 回复