상세 컨텐츠

본문 제목

Jackson 프레임워크에서 Java 역직렬화 코드실행 취약점 발견

국내외 보안동향

by 알약(Alyac) 2017. 4. 17. 17:41

본문

Jackson 프레임워크에서 Java 역직렬화 코드실행 취약점 발견


취약점 내용


Jackson은 java 직렬화 및 역직렬화에 사용되는 오픈소스 프레임워크입니다. Java 개체 직렬화는 xml과 json 형식의 문자열 및 대응되는 역직렬화 과정을 제공합니다. 


이번에 발견된 취약점은 Jackson 프레임워크 enableDefaultTyping 방법 역직렬화 취약점입니다. 공격자는 해당 방법을 이용하여 서버에 임의의 코드를 실행할 수 있습니다. 


취약점 조건은 ObjectMapper 역직렬화 전에 enableDefaultTyping을 콜하는 것입니다. 해당 방법은 json문자열 중 지정된 java개체의 유형이름을 역직렬화 할 수 있도록 허용합니다. 또한 Object, Map, List등의 개체를 사용할 때 역직렬화 취약점을 유발할 수 있습니다. 



영향받는 버전


Jackson 2.7.9 이하

Jackson 2.8.8 이하



패치방법


Jackson 2.7.10, 2.8.9로 업데이트 (▶ 참고)








참고 :

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04483 

https://github.com/FasterXML/jackson-databind/issues/1599

관련글 더보기

댓글 영역