DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

高防IP_防东高铁_超稳定

05-07 DDOS防御

高防IP_防东高铁_超稳定

随着易受攻击组件的浪潮持续上升,Sonatype的这一个月很忙。我们的数据研究团队一直在调查大量的组件,并努力让我们的客户在开源软件威胁面前遥遥领先。我们帮助客户的众多方法之一是检查客户扫描结果并回答有关差异的问题。本月的NexusIntelligence Insight强调了一个我们反复得到的关于jackson数据绑定和块多态反序列化的问题。具体来说,为什么我们:将组件列为易受攻击的组件为什么我们不在扫描中列出覆盖易受攻击向量的每个CVE首先,有一点背景。2013年,游戏安全,一位开发人员发现,默认情况下启用的DefaultTyping为该组件打开了一个利用向量点。他向项目报告说,这是一个潜在的漏洞。我们数据研究小组的一名成员将其标记为进一步调查。经过仔细的分析,我们确定使用该组件时假定的正确的开发人员卫生状况非常复杂,以至于在DefaultTyping设置为enabled的情况下使用它是有风险的。我们不认为该项目在组件按设计工作(反序列化代码)时是否存在漏洞是"错误的"。但是,如果不代表开发人员进行大量的调查,使用组件可能会带来多个利用机会。Vuln名称/Sonatype ID:Sonatype-2017-0312漏洞类型:远程代码执行受影响的组件:更新版本时的所有组件。使用Spring 2.0.0或M2.0.0的开发人员没有暴露在安全漏洞中漏洞描述:`jackson databind易受远程代码执行(RCE)的攻击。"BeanDeserializerFactory"类中的"createBeanDeserializer()"函数允许反序列化不受信任的Java对象。远程攻击者可以通过上载恶意序列化对象(通常是小工具)来利用此漏洞进行攻击,如果应用程序尝试反序列化对象,该对象将导致RCE。此漏洞是由于无法修复CVE-2017-7525、CVE-2017-15095、CVE-2017-17485、CVE-2018-5968、CVE-2018-7489、CVE-2018-11307、CVE-2018-12022、CVE-2018-12023、CVE-2018-14718、CVE-2018-14719、CVE-2018-14720和CVE-2018-14721。攻击机制:如果启用了DefaultType并通过要反序列化的任意对象传入不受信任的数据,华为云ddos防御上限,则使用此组件的应用程序易受攻击。在下面的示例中,坏角色创建要反序列化的恶意负载。FasterXML实现了一个黑名单方法来修复这个潜在的漏洞攻击。当这些向量被识别出来时,黑名单将建立:索纳泰克观点:Sonatype在jackson databind上的立场是,鉴于组件的性质,对于这个潜在的漏洞没有真正的修复方法,并且需要严格的开发人员卫生来限制恶意代码的反序列化,因此我们宣布该组件易受攻击。为了减少"噪音",如果客户运行的是jackson databind的最新版本,该版本包含所有相关cve的所有修复,美国高防cdnhostloc,Sonatype将在扫描中显示Sonatype-2017-0312。如果客户运行的版本缺少任何CVE补丁,cc防御盾,我们将只显示最适合所使用版本的CVE(即第一个缺失补丁的CVE)。在我们展示的CVE的解释中,Sonatype将列出所有其他先前的相关CVE,因此所有的CVE都被考虑在内,但是在视觉上是合并的。我们以这种方式呈现漏洞的目的是消除显示十几个不同的cve/漏洞,而这些cve/漏洞实际上是同一个漏洞。对于那些读者谁是客户,Sonatype没有错过杰克逊数据绑定cve在您的扫描,我们只是合并他们,使事情简单和干净。有许多cve和版本与此组件相关,并且列表会定期增长。补救措施:我们建议调查替代组件或缓解控制。在这里了解有关缓解的更多信息。不要启用DefaultTyping。而是实现显式映射的类。也可以使用ObjectMapper.setDefaultTyping(…)–您只需实现自己的TypeResolverBuilder(这不是很困难);通过这样做,实际上可以配置类型信息的所有方面。构建器本身只是构建实际处理程序的捷径。在这里了解更多信息:https://github.com/FasterXML/jackson-docs/wiki/jacksonpolymicdeserialization通过查看springsecurity的fix可以找到实现您自己的类型的例子。https://github.com/springprojects/springsecurity/commit/947d11f433b78294942cb5ea56e8aa5c3a0ca439或https://stackoverflow.com/questions/12353774/how-to-customize-jackson-type-information-mechanism具有持续部署软件版本能力的DevOps本机组织具有自动化优势,使他们能够领先黑客一步。Sonatype Nexus的客户在发现Sonatype-2017-0312后的几天内收到通知。他们的开发团队会自动收到关于如何补救风险的具体指示。在jackson databind的具体案例中,我们的数据研究团队正在持续监控新的向量,更新和整合cve和相应的版本号如果您不是Sonatype的客户,并且想知道您是否在特定的应用程序中使用了jackson databind的这个易受攻击的版本,那么可以使用Sonatype的免费Nexus漏洞扫描程序来快速查明。如果您是Sonatype客户,并且对该组件、扫描中的存在或违反策略有其他疑问,请联系您的客户成功代表。有兴趣了解影响开源生态系统的其他漏洞吗?访问Nexus Intelligence Insights页面,win7系统防御ddos,深入了解类似此漏洞的其他漏洞。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/67719.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8974014访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X