再爆安全漏洞,此次轮到Jackson了,竟由阿里云上报
冤冤相报什么时候了,得饶人处且饶人。本文已被 https://www.yourbatman.cn 收录,里面一并有Spring技术栈、MyBatis、JVM、中间件等小而美的 专栏供以避免费学习。关注公众号【 BAT的乌托邦】逐个击破,深刻掌握,拒绝浅尝辄止。
✍前言
你好,我是YourBatman。git
今天中午收到我司安所有发了一封邮件:Jackson存在安全漏洞。查了一下,这件事并不算很新鲜了(已通过了10天的样子),本文来聊聊吧。github
提及来还蛮戏剧化:阿里云向Jackson官方提交了一个Jackson序列化安全漏洞。众所周知,在国内关于JSON库使用有两大主要阵营:国际著名的Jackson库和国内阿里巴巴出品的Fastjson。web
一样的功能定位,不存在竞争想一想也以为不可能嘛。因此当我看到这个漏洞竟是阿里云上报的,就以为这关系还蛮微妙呢,默默的腹黑了3秒钟,哈哈。json
附:FasterXML/jackson-databind是一个简单基于Java应用库,Jackson能够轻松的将Java对象转换成json对象和xml文档,一样也能够将json、xml转换成Java对象。Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具备数据绑定功能的组件。
segmentfault
✍正文
熟悉A哥的小伙伴知道,自从Fastjson上次爆出重大安全漏洞以后,我完全的投入到了Jackson的阵营,工做中也慢慢去Fastjson化。这不还专门撰写了一篇文章来讲明此事:Fastjson到了说再见的时候了。为了顺利完成“迁移”,我还专门写了一个,也有多是全网惟一一个Jackson专栏,虽然很小众但就是干了~安全
关于本次漏洞
2020年8月25日,jackson-databind(官方)发布了Jackson-databind序列化漏洞的安全通告,漏洞编号为CVE-2020-24616。app
漏洞详情
该漏洞源于不安全的反序列化。远程攻击者可经过精心构造的恶意载荷利用该漏洞在系统执行任意代码。工具
其实上它的底层原理是利用某些类的反序列化利用链,能够绕过 jackson-databind 黑名单限制,远程攻击者经过向使用该组件的web服务接口发送特制请求包(精心构造的JSON),能够形成远程代码执行影响。post
漏洞评级
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 高危 |
| 影响面 | 有限 |
| 漏洞评分 | 75 |
对此评级没有概念?那就来个参照物比一比嘛,我把Fastjson上次(2020-05)的安全漏洞评级给你作对比:学习
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 高危 |
| 影响面 | 普遍 |
| 漏洞评分 | 75 |
有限和普遍的的区别到底有多大,用文字不太好描述。打个比方,我以为可类比艾滋病和新冠病毒的区别,前者对社会生态影响并不大,然后者巴不得让全球都停摆了,即便它致死率还远没有前者那么高,这就是影响范围的“力量”。
影响版本
jackson-databind < 2.9.10.6
由于如今你们都基于Spring Boot开发,针对版本号我扩展一下,方便你对号入座哈:
| Spring Boot版本 | Jackson版本 |
|---|---|
| 1.5.22.RELEASE | 2.8.x |
| 2.0.9.RELEASE | 2.9.x |
| 2.1.16.RELEASE | 2.9.10.5 |
| 2.2.9.RELEASE | 2.10.x |
| 2.3.3.RELEASE | 2.11.x |
Spring Boot2.1.x应该是现行主流使用版本,所以从版本号上来看,大几率都在这次漏洞的射程范围内。
安全版本
jackson-databind 2.9.10.6或者2.10.x及之后版本
故事时间轴
2020-08-05,阿里云安全组同窗向Jackson官方上报了这个安全漏洞:
当天,官方回复预计会在8-15左右发布bug修复版本修复次问题(waht?知道问题了还得10后修复?):
可结果是10天都不止。直到8.25这天,Jackson发布2.9.10.6版本修复了此问题,并向外界发公告公布此漏洞:
从8.5号Jackson官方知晓此漏洞,到8.25号最终发版解决此问题,整整20天,为什么须要这么久?我想真像只有一个:此漏洞影响真的不大,或者说影响范围较窄。回忆下上次Fastjson出现的那个安全漏洞,24h内就给与了修复版本,并非由于咱们反映迅速,而是由于影响重大等不了...
修复建议
一股脑的所有升级到2.9.10.6或以上版本固然能规避此安全问题,可是你是否想过,你负责多少个服务?你团队、公司一共有多少个服务?你品,你细品,头大吗?
从官方对这次漏洞作出的反射弧时间来看,本次漏洞影响是相对较小的,所以我总结了下修复建议,假若你同时知足以下三个条件,那么须要立马修复,不然可暂不理会:
- 对公网提供API接口
- Jackson版本小于2.9.10.6
工程内有使用(或者引入)以下4个类任意一个:
- br.com.anteros.dbcp.AnterosDBCPDataSource
- com.pastdev.httpcomponents.configuration.JndiConfiguration
- com.nqadmin.rowset.JdbcRowSetImpl
- org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl
条件3的理论支撑是我对比2.9.10.6版本release改动源码 + 我和我司安全组人员的讨论结果。修复方案也仅仅是在黑名单里新增了这4个类,截图以下:
✍总结
外行看热闹,内行看门道。千万不能说Fastjson出了个漏洞,Jackson也来一个就得出结论说打平手了,那会稍显外行。正所谓假设能够大胆,但当心求证,下结论须要谨慎。
总的来讲,这次漏洞影响甚小,不用大惊小怪,我就继续个人Jackson之旅啦。
✔推荐阅读:
- Fastjson到了说再见的时候了
- 1. 初识Jackson -- 世界上最好的JSON库
- 2. 妈呀,Jackson原来是这样写JSON的
- 3. 懂了这些,方敢在简历上说会用Jackson写JSON
- 4. JSON字符串是如何被解析的?JsonParser了解一下
- 5. JsonFactory工厂而已,还蛮有料,这是我没想到的
- 6. 二十不惑,ObjectMapper使用也再也不迷惑
- 7. Jackson用树模型处理JSON是必备技能,不信你看
♥关注A哥♥
| Author | A哥(YourBatman) |
|---|---|
| 我的站点 | www.yourbatman.cn |
| yourbatman@qq.com | |
| 微 信 | fsx641385712 |
活跃平台 |
 |
| 公众号 | BAT的乌托邦(ID:BAT-utopia) |
| 知识星球 | BAT的乌托邦 |
| 每日文章推荐 | 每日文章推荐 |
- 1. 再爆安全漏洞,此次轮到Jackson了,竟由阿里云上报
- 2. 再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报
- 3. 阿里云上报了一个安全漏洞,这次是Jackson了
- 4. Apache Tomcat 再次爆出安全漏洞
- 5. Samba再报安全漏洞
- 6. 【安全提示】OpenSSL 再出安全漏洞,此次有 8 个!
- 7. 紧急修复,阿里巴巴FastJson再爆高危安全漏洞
- 8. 2015移动安全漏洞年报--阿里聚安全
- 9. 漏洞:阿里云盾phpMyAdmin
- 10. 云上安全,阿里云
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代码 - C#教程
- • 使用阿里云OSS+CDN部署前端页面与加速静态资源
- • Tomcat学习笔记(史上最全tomcat学习笔记)
-
每一个你不满意的现在,都有一个你没有努力的曾经。