V9扫描出Jackson框架远程代码执行漏洞(CVE-2017-17485)
漏洞描述:
Jackson是一个开源的java序列化与反序列化工具,可以将java对象序列化为xml和json格式的字符串或将两种文件反序列化为相应的对象。
因为CVE-2017-7525解序列化缺陷的修复程序不完整,可以通过将恶意制作的JSON输入发送到ObjectMapper的readValue方法来利用,绕过一个黑名单,如果Spring类库在类路径中可用,则该黑名单是无效的。
修复建议:
将 Jackson-databind 升级到 2.8.11、2.9.4 及以上版本,下载地址:
https://github.com/FasterXML/jackson-databind/releases
https://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind
验证信息:
- jackson-databind
当前安装版本:2.6.7
应用相关信息:
- 应用路径:/opt/AAS/domains/mydomain/deploy/.system/webtool.war/tmpfiles/docroot/WEB-INF/lib/jackson-databind-2.6.7.jar
该主机存在此漏洞
解决方法:按照修复建议中的网址下载对应的升级包然后替换如下图中的jar即可
