前兩天休息，偏偏此時出現漏洞了，心里咯噔一下，發(fā)表一下希望關注的博友可以重視下。

公司專注于為企業(yè)提供成都做網站、成都網站制作、微信公眾號開發(fā)、商城網站建設，小程序定制開發(fā)，軟件按需設計網站等一站式互聯網企業(yè)服務。憑借多年豐富的經驗，我們會仔細了解各客戶的需求而做出多方面的分析、設計、整合，為客戶設計出具風格及創(chuàng)意性的商業(yè)解決方案，創(chuàng)新互聯更提供一系列網站制作和網站推廣的服務。

1、時間：

2017-4-17

2、漏洞： 

Jackson框架Java反序列化遠程代碼執(zhí)行漏洞，Jackson可以輕松的將Java對象轉換成json對象和xml文檔，同樣也可以將json、xml轉換成Java對象。

3、漏洞分析：

Jackson是一套開源的java序列化與反序列化工具框架，可將java對象序列化為xml和json格式的字符串及提 供對應的反序列化過程。由于其解析效率較高，目前是Spring MVC中內置使用的解析方式。該漏洞的觸發(fā)條件是ObjectMapper反序列化前調用了enableDefaultTyping方法。該方法允許json字符串中指定反序列化java對象的類名，而在使Object、Map、List等對象時，可誘發(fā)反序列化漏洞。

4、影響版本：

Jackson Version 2.7.* < 2.7.10

Jackson Version 2.8.* < 2.8.9

5、漏洞來源：綠盟科技 國家信息安全漏洞共享平臺（CNVD）

嚴重性：***者利用漏洞可在服務器主機上執(zhí)行任意代碼或系統(tǒng)指令，取得網站服務器的控制權。

6、修補方式：

更新到2.7.10或2.8.9版本（但官網目前我試過打不開，新版本并未更新）

手動修改2.7.*，2.8.*以及master分支的代碼來防護該漏洞.

7、Github參考：

https://github.com/FasterXML/jacksondatabind/commit/fd8dec2c7fab8b4b4bd60502a0f1d63ec23c24da

8、合作：運維排查，開發(fā)修改。

9、開發(fā)給的建議：

10、提醒：注重安全，小心為上。