java开发中使用json框架的注意安全漏洞

  • java开发中使用json框架的注意安全漏洞已关闭评论
  • 112 views
  • A+
所属分类:编程开发

Jackson

详情

Jackson框架enableDefaultTyping方法反序列化漏洞(CNVD-2017-04483),该漏洞的触发条件是ObjectMapper反序列化前调用了enableDefaultTyping方法。该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞。

影响范围

漏洞影响范围 漏洞影响Jackson 2.7版本(<2.7.10)、2.8版本(<2.8.9)。

建议

需更新到2.7.10或2.8.9版本

FastJson

详情

攻击者可以通过发送构造好的请求而致使当前线程瘫痪,当发送的恶意请求过多时有可能使业务直接瘫痪。

影响范围

< 1.2.60版本

建议

  • 1.1.15~1.1.31版本更新到1.1.31.sec07版本
  • 1.1.32~1.1.33版本更新到1.1.33.sec06版本
  • 1.1.34 版本更新到1.1.34.sec06版本
  • 1.1.35~1.1.46版本更新到1.1.46.sec06版本
  • 1.2.3~1.2.7版本更新到1.2.7.sec06版本或1.2.8.sec04版本
  • 1.2.8 版本更新到1.2.8.sec06版本
  • 1.2.9~1.2.29 版本更新到1.2.29.sec06版本
  • 安卓客户端下载
  • 微信扫一扫
  • weinxin
  • 微信公众号
  • 微信公众号扫一扫
  • weinxin
avatar