天天夜碰日日摸日日澡性色AV ,日韩欧美在线综合网,中国成熟妇女毛茸茸,bbw丰满大肥奶肥婆

安全公告編號:CNTA-2017-0030

近日，國家信息安全漏洞共享平臺（CNVD）收錄了CNVD白帽子（ID：ayound）報送的Jackson框架enableDefaultTyping方法反序列化漏洞（CNVD-2017-04483）。攻擊者利用漏洞可在服務器主機上執(zhí)行任意代碼或系統(tǒng)指令，取得網(wǎng)站服務器的控制權

一、漏洞情況分析

Jackson是一套開源的java序列化與反序列化工具框架，可將java對象序列化為xml和json格式的字符串及提供對應的反序列化過程。由于其解析效率較高，目前是Spring MVC中內(nèi)置使用的解析方式。4月15日，CNVD白帽子(ID:ayound)提交了Jackson存在Java反序列化漏洞的情況，CNVD秘書處進行了本地環(huán)境核實，確認漏洞在一定條件下可被觸發(fā)，達到任意代碼和系統(tǒng)指令執(zhí)行的目的。該漏洞的觸發(fā)條件是ObjectMapper反序列化前調用了enableDefaultTyping方法。該方法允許json字符串中指定反序列化java對象的類名，而在使用Object、Map、List等對象時，可誘發(fā)反序列化漏洞。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響Jackson 2.7版本（<2.7.10）、2.8版本（<2.8.9）。根據(jù)CNVD秘書處對Jackson應用普查的結果，目前互聯(lián)網(wǎng)上約有9.1萬臺網(wǎng)站服務器標定為使用了Jackson框架，其中排名前五位的國家有：美國（占比68.8%）、中國（8.2%）、英國（4.1%）、德國（2.0%）、荷蘭（2.0%）。目前，暫未進一步抽樣核驗實際受影響的比例情況。

三、防護建議

Jackson開發(fā)方已經(jīng)對ayound提交的情況進行了回應，并發(fā)布了修復更新。用戶需更新到2.7.10或2.8.9版本，同時后續(xù)將發(fā)布的2.9.0版本也會加入該漏洞的修復措離。

附：參考鏈接：

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04483

https://github.com/FasterXML/jackson-databind/issues/1599(修復安全建議)