描述

當配置為啟用預設類型時，Jackson 包含一個反序列化漏洞，可能導致任意程式碼執行。 Jackson 通過將已知的“反序列化 gadgets”列入黑名單來修復此漏洞。

Spring Batch 將 Jackson 配置為啟用全域預設類型，這意味著通過先前的漏洞利用，如果滿足以下所有條件，則可以執行任意程式碼

• Spring Batch 的 Jackson 支援正被用於序列化 job 的 ExecutionContext。
• 惡意使用者獲得對 JobRepository 使用的資料儲存區的寫入權限（儲存要反序列化的資料）。

為了防止此類型的攻擊，Jackson 阻止反序列化一組不受信任的 gadget 類別。 在啟用預設類型時，Spring Batch 應該主動阻止未知的“反序列化 gadgets”。

受影響的 Spring 產品和版本

• Spring Batch
  • 4.0.0 到 4.0.4
  • 4.1.0 到 4.1.4
  • 4.2.0 到 4.2.2

緩解措施

受影響版本的用戶應升級到 4.2.3 或更高版本。 已修復此問題的版本包括

• Spring Batch
  • 4.2.3

致謝

此問題由 Srikanth Ramu 發現並負責地報告。

參考文獻

• https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062
• https://github.com/spring-projects/spring-batch/issues/3729

歷史記錄

• 2020-06-10：發布了初始漏洞報告。