• 安全产品

  • 行业解决方案

  • 安全服务与运营

  • 安全研究

  • 合作伙伴

  • 技术支持

  • 基础设施安全

  • 云计算安全

  • 工控安全

  • 物联网安全

  • 全部产品

基础设施安全

物联网安全

  • 运营商

  • 金融

  • 能源

  • 交通

  • 教育

  • 医疗

  • 政务结合

快速链接

快速链接

合作伙伴

合作伙伴动态

成为合作伙伴

快速链接

快速链接

返回列表

Jackson-databind 不完全的黑名单反序列化远程代码执行漏洞(CVE-2017-15095)(SA2017-08)

2017-11-02

发布者:威廉希尔中文网站

align='center'>威廉希尔中文网站安全公告(SA2017-08)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com
Jackson-databind 不完全的黑名单反序列化远程代码执行漏洞(CVE-2017-15095)

发布日期:2017-11-02

CVE ID:CVE-2017-15095
BUGTRAQ ID:103880

受影响的软件及系统:
====================
FasterXML Jackson-databind < 2.9.1
FasterXML Jackson-databind < 2.8.10

综述:
======
    NSFOCUS安全研究团队发现Jackson-databind软件中存在一个反序列化安全漏洞,可能造成远程代码执行。


分析:
======
    Jackson是一款基于Java平台的开源数据处理框架,可以方便的实现Jason对象和Java对象的相互转换,很多Java应用都使用Jackson框架进行Jason对象处理。Jackson-databind是Jackson框架的核心库之一。

    Jackson-databind库在ObjectMapper类的readValue方法处理中存在一个反序列化漏洞,未授权的远程攻击者可以通过提交精心构造的恶意数据执行任意代码(CVE-2017-7525)。厂商在针对CVE-2017-7525漏洞的修复补丁中采用了黑名单方式来限制危险类,但这个黑名单是不完整的,通过使用黑名单之外的类,就可以绕过该补丁,造成远程代码执行。

解决方法:
==========
   暂无。


厂商状态:
==========
2017.11.02  厂商发布安全公告修复了此安全漏洞。

您可以在下列地址看到安全公告的详细内容:
https://access.redhat.com/security/cve/cve-2017-15095

附加信息:
==========
http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=101
https://www.securityfocus.com/bid/103880
http://seclists.org/oss-sec/2017/q4/180
https://access.redhat.com/security/cve/cve-2017-15095
https://bugzilla.redhat.com/show_bug.cgi?id=1506612


致谢:
==========

本安全漏洞由威廉希尔中文网站安全研究团队(NSFOCUS Security Team)的廖新喜发现。

声 明
==========

本安全公告仅用来描述可能存在的安全问题,威廉希尔中文网站不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,威廉希尔中文网站以及安全公告作者不为此承担任何责任。威廉希尔中文网站拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经威廉希尔中文网站允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于威廉希尔中文网站
============

威廉希尔中文网站(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关威廉希尔中文网站的详情请参见: http://www.nsfocus.com

© 2019 威廉希尔中文网站

<<上一篇

Microsoft Internet Explorer内存破坏漏洞(CVE-2017-8727)(SA2017-07)

>>下一篇

ImageMagick/GraphicsMagick存在多个安全漏洞(SA2017-09)
?

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

  • 服务热线:

    010-68438880-5069

  • 投诉专线:

    010-59610080

提交项目需求

欢迎加入威廉希尔中文网站,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

微博

微信

服务热线

400-818-6868

服务时间

7*24小时

? 2019 NSFOCUS 威廉希尔中文网站 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

XML 地图 | Sitemap 地图