下载 | Jackson-databind爆出远程代码执行漏洞CVE-2017-17485

近日,Jackson-databind爆出远程代码执行漏洞,CVE编号CVE-2017-17485,Jackson-databind是Java中用于JSON 编组/解编的流行库,攻击者可以通过Jackson滥用Spring classes导致远程代码执行,2.9.3、2.7.9.1、2.8.10受影响。绿盟科技发布《Jackson-databind远程代码执行漏洞(CVE-2017-17485)威胁预警通告》,详见附件下载。相关信息如下

CVE-2017-17485漏洞概要

针对CVE-2017-17485漏洞情况,安全加整理了相关内容如下,这些内容可能来自于CVE-2017-17485涉及厂商、CVE-2017-17485漏洞信息发布组织、CVE、SecurityFocus及其它第三方组织。

CVE-2017-17485漏洞标识

  • CVE ID:CVE-2017-17485
  • BUGTRAQ ID:【BUGTRAQ ID】
  • 漏洞涉及厂商漏洞库ID:【漏洞涉及厂商漏洞库ID】
  • CNNVD ID:【CNNVD漏洞编号】
  • 绿盟科技漏洞库ID:【绿盟科技漏洞库ID】

CVE-2017-17485漏洞相关链接

【增补中】

  • 百度链接:https://www.baidu.com/s?wd=CVE-2017-17485
  • 绿盟科技漏洞库链接:http://www.nsfocus.net/vulndb/{绿盟科技漏洞库ID}
  • SecurityFocus链接:https://www.securityfocus.com/archive/1/541652
  • Github链接:https://github.com/irsl/jackson-rce-via-spel/
  • https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you- need-to-know-54cd0d6e8062
  • https://adamcaudill.com/2017/10 / 04 / exploiting-jackson-rce-CVE-2017-17485/ 

CVE-2017-17485漏洞描述

【增补中】

CVE评价该漏洞

SecurityFocus评价该漏洞

Jackson-databind是Java中用于JSON 编组/解编的流行库它有一个名为default-typing的特性:当目标类内部有一些多态字段(如接口,抽象类或Object基类)时,库可以将类型信息包含到JSON结构中,并在解组中使用该信息。

当输入被攻击者控制并且目标类包含一个Object类型的域或者一般的东西(比如Comparable)时,这可能是危险的

在发现原始发现(CVE-2017-7525)之后,作者用黑名单修补了这个攻击面,这个黑名单是不完整的(就像黑名单的本质一样)。

绿盟科技评价该漏洞

近日,Jackson-databind又曝出一个远程代码执行漏洞。该漏洞为之前漏洞(CVE-2017-7525)的后续,描述了另一种针对Jackson-databind的攻击,攻击者可以通过Jackson滥用Spring classes导致远程代码执行。

受影响的版本

  • Jackson-databind version <=2.9.3
  • Jackson-databind version <=2.7.9.1
  • Jackson-databind version <=2.8.10

不受影响的版本

  • Jackson-databind version 2.9.3.1
  • Jackson-databind version 2.7.9.2
  • Jackson-databind version 2.8.11

CVE-2017-17485漏洞影响范围

CVE-2017-17485漏洞涉及厂商

【增补中】

CVE-2017-17485漏洞涉及产品

Jackson-databind组件

CVE-2017-17485漏洞影响版本

  • Jackson-databind version <=2.9.3
  • Jackson-databind version <=2.7.9.1
  • Jackson-databind version <=2.8.10

CVE-2017-17485漏洞解决方案

【增补中】

{CVE-2017-17485漏洞涉及厂商}声明

【增补中】

绿盟科技声明

官方将在新版本中通过扩展黑名单的方式来修复该漏洞,受影响的用户请尽快升级到新版本进行防护。

另外,未来Jackson-dababind的最新主要版本(3.x)将使用新的API,该API layer可以提供一种基于白名单的序列化方式来处理多态类(polymorph classes),以此解决该系列漏洞。

参考链接:

https://github.com/FasterXML/jackson-databind/releases

绿盟科技发布了《Jackson-databind远程代码执行漏洞(CVE-2017-17485)威胁预警通告》,详见附件下载

绿盟科技安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

CVE-2017-17485漏洞安全加声明

本页信息用以描述CVE-2017-17485漏洞的信息,这些信息便于您对CVE-2017-17485漏洞进行快速阅读并了解相关信息。如下信息如有空缺,则CVE-2017-17485漏洞相关内容正在增补中,如果您知悉相关内容或者如下内容有异议,可以联系站长:安全加QQ:468215215;Weixin:gnaw0725

CVE-2017-17485漏洞相关内容

CVE-2017-17485漏洞相关漏洞

漏洞列表
CVE-2017-7525

CVE-2017-17485漏洞相关文章

CVE-2017-17485漏洞相关附件

绿盟科技发布《Jackson-databind远程代码执行漏洞(CVE-2017-17485)威胁预警通告》

点击图片下载

发表评论