前兩天休息，偏偏此時出現(xiàn)漏洞了，心里咯噔一下，發(fā)表一下希望關(guān)注的博友可以重視下。

創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于成都網(wǎng)站建設(shè)、成都做網(wǎng)站、法庫網(wǎng)絡(luò)推廣、小程序開發(fā)、法庫網(wǎng)絡(luò)營銷、法庫企業(yè)策劃、法庫品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們大的嘉獎；創(chuàng)新互聯(lián)公司為所有大學(xué)生創(chuàng)業(yè)者提供法庫建站搭建服務(wù)，24小時服務(wù)熱線：13518219792，官方網(wǎng)址：www.cdcxhl.com

1、時間：

2017-4-17

2、漏洞：

Jackson框架Java反序列化遠(yuǎn)程代碼執(zhí)行漏洞，Jackson可以輕松的將Java對象轉(zhuǎn)換成json對象和xml文檔，同樣也可以將json、xml轉(zhuǎn)換成Java對象。

3、漏洞分析：

Jackson是一套開源的java序列化與反序列化工具框架，可將java對象序列化為xml和json格式的字符串及提 供對應(yīng)的反序列化過程。由于其解析效率較高，目前是Spring MVC中內(nèi)置使用的解析方式。該漏洞的觸發(fā)條件是ObjectMapper反序列化前調(diào)用了enableDefaultTyping方法。該方法允許json字符串中指定反序列化java對象的類名，而在使Object、Map、List等對象時，可誘發(fā)反序列化漏洞。

4、影響版本：

Jackson Version 2.7.* < 2.7.10

Jackson Version 2.8.* < 2.8.9

5、漏洞來源：綠盟科技 國家信息安全漏洞共享平臺（CNVD）

嚴(yán)重性：***者利用漏洞可在服務(wù)器主機(jī)上執(zhí)行任意代碼或系統(tǒng)指令，取得網(wǎng)站服務(wù)器的控制權(quán)。

6、修補(bǔ)方式：

更新到2.7.10或2.8.9版本（但官網(wǎng)目前我試過打不開，新版本并未更新）

手動修改2.7.*，2.8.*以及master分支的代碼來防護(hù)該漏洞.

7、Github參考：

https://github.com/FasterXML/jacksondatabind/commit/fd8dec2c7fab8b4b4bd60502a0f1d63ec23c24da

8、合作：運維排查，開發(fā)修改。

9、開發(fā)給的建議：

10、提醒：注重安全，小心為上。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站標(biāo)題：繼Struts2漏洞，Jackson漏洞來襲-創(chuàng)新互聯(lián)
文章起源：http://weahome.cn/article/dejcej.html