Jackson 프레임워크에서 Java 역직렬화 코드실행 취약점 발견
취약점 내용
Jackson은 java 직렬화 및 역직렬화에 사용되는 오픈소스 프레임워크입니다. Java 개체 직렬화는 xml과 json 형식의 문자열 및 대응되는 역직렬화 과정을 제공합니다.
이번에 발견된 취약점은 Jackson 프레임워크 enableDefaultTyping 방법 역직렬화 취약점입니다. 공격자는 해당 방법을 이용하여 서버에 임의의 코드를 실행할 수 있습니다.
취약점 조건은 ObjectMapper 역직렬화 전에 enableDefaultTyping을 콜하는 것입니다. 해당 방법은 json문자열 중 지정된 java개체의 유형이름을 역직렬화 할 수 있도록 허용합니다. 또한 Object, Map, List등의 개체를 사용할 때 역직렬화 취약점을 유발할 수 있습니다.
영향받는 버전
Jackson 2.7.9 이하
Jackson 2.8.8 이하
패치방법
Jackson 2.7.10, 2.8.9로 업데이트 (▶ 참고)
참고 :
Apache Log4j 역직렬화 취약점 발견 (0) | 2017.04.19 |
---|---|
크롬, 파이어폭스, 오페라에서 완벽한 탐지가 불가능한 피싱 공격 발견돼 (0) | 2017.04.18 |
TheShadowBrokers, 대량의 Windows 제로데이 취약점 공개 (0) | 2017.04.17 |
중국 TVT Digital Group을 타겟으로 하는 Amnesia 악성코드, 전 세계 22.7만대의 IoT 기기에 영향 (0) | 2017.04.14 |
마이크로소프트, 활발히 악용되던 심각한 취약점들을 위한 패치 공개 (0) | 2017.04.13 |
댓글 영역