Jackson-databind远程命令执行漏洞通告

1.综述

Jackson是一个开源的java序列化与反序列化工具，可以将java对象序列化为xml和json格式的字符串或将两种文件反序列化为相应的对象。

Jackson-databind存在远程命令执行漏洞，因Jackson反序列化漏洞（CVE-2017-7525）采用黑名单的方法修复程序，CVE-2017-17485在开启enableDefaultTyping()的前提下可以通过Jackson-databind来滥用Spring spel来执行任意命令。

2.漏洞概述

漏洞类型： 远程代码执行漏洞

危险等级： 高危

利用条件： 当srping spel和jackson-databind低版本库使用情况下

受影响版本：Jackson

3.漏洞编号

CVE-2017-17485 Jackson-databind远程代码执行漏洞

4.漏洞描述

Jackson-databind存在远程命令执行漏洞，因Jackson反序列化漏洞（CVE-2017-7525）采用黑名单的方法修复程序，CVE-2017-17485在开启enableDefaultTyping()的前提下可以通过Jackson-databind来滥用Spring spel来执行任意命令。

5.测试环境

可使用测试环境进行测试：https://github.com/irsl/jackson-rce-via-spel

6.修复建议

将Jackson升级版本大于2.7.9.2或2.8.11或2.9.3.1

下载地址：https://github.com/FasterXML/jackson-databind

参考链接：

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-17485

https://nvd.nist.gov/vuln/detail/CVE-2017-17485

https://www.securityfocus.com/archive/1/archive/1/541652/100/0/threaded

https://github.com/FasterXML/jackson-databind

https://github.com/irsl/jackson-rce-via-spel