描述

當配置為啟用預設型別時，Jackson 包含一個反序列化漏洞，可能導致任意程式碼執行。 Jackson 透過將已知的“反序列化小工具”列入黑名單來修復此漏洞。

Spring Batch 配置 Jackson 時啟用了 全域性預設型別，這意味著透過先前的漏洞，如果以下所有條件都為真，則可以執行任意程式碼

• Spring Batch 的 Jackson 支援正在被利用來序列化作業的 ExecutionContext。
• 惡意使用者獲得對 JobRepository 使用的資料儲存的寫入許可權（其中儲存了要反序列化的資料）。

為了防止此類攻擊，Jackson 會阻止一組不受信任的小工具類被反序列化。 在啟用預設型別時，Spring Batch 應該主動阻止未知的“反序列化小工具”。

受影響的 Spring 產品和版本

• Spring Batch
  • 4.0.0 至 4.0.4
  • 4.1.0 至 4.1.4
  • 4.2.0 至 4.2.2

緩解措施

受影響版本的使用者應升級到 4.2.3 或更高版本。 修復此問題的版本包括

• Spring Batch
  • 4.2.3

鳴謝

此問題由 Srikanth Ramu 發現並負責任地報告。

參考

• https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062
• https://github.com/spring-projects/spring-batch/issues/3729

歷史

• 2020-06-10：釋出初始漏洞報告。