已完本玄幻小说排行榜,玄幻小说排行榜完本

【漏洞通告】Jackson-databind 反序列化漏洞(CVE-2017-17485)

【漏洞詳情】

Jackson是一套開源的java序列化與反序列化工具框架，可將Java對象序列化為xml和json格式的字符串及提供對應(yīng)的反序列化過程。由于其解析效率較高，目前是Spring MVC中內(nèi)置使用的解析方式。該漏洞系Jackson針對反序列化漏洞（CVE-2017-7525）存在遺留問題的延伸，由于之前采用黑名單方式過濾不全，導(dǎo)致攻擊者可以利用該漏洞發(fā)送惡意構(gòu)造惡意的輸入實施代碼執(zhí)行攻擊，獲取網(wǎng)站服務(wù)器控制權(quán)。

【風(fēng)險等級】
高風(fēng)險

【漏洞風(fēng)險】
在服務(wù)器主機上執(zhí)行任意代碼或系統(tǒng)指令，取得網(wǎng)站服務(wù)器的控制權(quán)

【影響版本】
Jackson-databind version 2.9.3
Jackson-databind version 2.7.9.1
Jackson-databind version 2.8.10

【安全版本】
Jackson-databind version 2.9.3.1
Jackson-databind version 2.7.9.2
Jackson-databind version 2.8.11

【修復(fù)建議】
目前官方已經(jīng)發(fā)布新版本修復(fù)了該漏洞，建議您參照上述【安全版本】升級到對應(yīng)的最新版本，目前最新版本下載鏈接：https://github.com/FasterXML/jackson-databind/releases

漏洞播報

【漏洞通告】Jackson-databind 反序列化漏洞(CVE-2017-17485)

聯(lián)系我們：cert@chaosec.com