内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

Jackson-databind远程代码执行漏洞处置手册(CVE-2017-17485)

2018-01-12 17:55 出处:清屏网 人气: 评论(0

Jackson-databind在2018年初又被爆出了一个远程代码执行漏(CVE-2017-17485),受影响的版本有:2.9.3、2.7.9.1、2.8.10及之前的版本。该漏洞是由于Jackson黑名单过滤不完整,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。目前针对该漏洞利用的POC已经公开,请受影响的用户及时更新版本进行修复。

文章目录

  • CVE-2017-17485 漏洞范围
  • CVE-2017-17485 漏洞检测方法
  • CVE-2017-17485 防护方案

CVE-2017-17485 漏洞范围

受影响的版本

Jackson-databind version <= 2.9.3

Jackson-databind version <= 2.7.9.1

Jackson-databind version <= 2.8.10    

不受影响的版本

Jackson-databind version 2.9.3.1

Jackson-databind version 2.7.9.2

Jackson-databind version 2.8.11

CVE-2017-17485 漏洞检测方法

当应用程序中引入Jackson组件,通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响。建议开发人员排查Jackson-databind组件的引入情况,包括是否引入以及版本详情,并且排查代码中是否调用了enableDefaultTyping方法。以Maven项目为例,排查方法如下所示:

当应用程序中引入Jackson组件,通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响。建议开发人员排查Jackson-databind组件的引入情况,包括是否引入以及版本详情,并且排查代码中是否调用了enableDefaultTyping方法。以Maven项目为例,排查方法如下所示:

1.检查pom.xml相关文件对jackson-databind引入情况,判断当前版本是否低于2.9.3版本。    2.当引入了jackson-databind组件时,排查代码中是否调用了enableDefaultTyping方法,如果调用了,建议立即升级相关组件并重启Web应用。

CVE-2017-17485 防护方案

(1)官方补丁

官方将在新版本中通过扩展黑名单的方式来修复该漏洞,受影响的用户请尽快升级到新版本进行防护。

另外,Jackson-dababind的最新主要版本(3.x)将使用新的API,该API layer可以提供一种基于白名单的序列化方式来处理多态类(polymorph classes),以此解决该系列漏洞。

(2) 产品防护

  • 自定义规则

为及时形成对Jackson远程代码执行漏洞的防护能力,减少因此漏洞导致的损失,部署有绿盟科技WAF的用户在官方正式提供防护规则前,可通过自定义规则的方式用来及时防护该漏洞,自定义规则如下:

(uri * rco   .*org\.springframework\.context\.support\.FileSystemXmlApplicationContext.*)

请参考如下步骤对临时规则进行部署:

a. 新建自定义规则,依次点击“安全管理”-“规则库管理”-“自定义”-“新建”

b. 将自定义规则命名为“Jackson-17485”。

c.依次按照如下截图进行设置:

检测对象:Request-body

匹配操作:正则包含

检测值:.*org\.springframework\.context\.support\.FileSystemXmlApplicationContext.

配置完成后可以看到如下约束条件:

d. 新建自定义策略,依次点击“安全管理”-“策略管理”-“自定义策略”-“新建”。

设置策略名称为“jackson-17485策略”,勾选刚刚新建的“jackson-17485”规则后点击确定。

e. 在站点添加自定义策略,依次点击“安全管理”-“站点防护”-“根据需要选择需要防护的站点”-“Web安全防护”。

在自定义策略中勾选刚刚创建的“jackson-17485策略”后,点击确定即可启用自定义的规则进行防护。

防护效果如下,可以看到,对于此POC的攻击已经进行了有效的阻断:


分享给小伙伴们:

相关文章

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

CopyRight © 2015-2016 QingPingShan.com , All Rights Reserved.

清屏网 版权所有 豫ICP备15026204号