描述

当配置为启用默认类型时，Jackson 包含一个反序列化漏洞，可能导致任意代码执行。 Jackson 通过将已知的“反序列化小工具”列入黑名单来修复此漏洞。

Spring Batch 配置 Jackson 时启用了 全局默认类型，这意味着通过先前的漏洞，如果以下所有条件都为真，则可以执行任意代码

• Spring Batch 的 Jackson 支持正在被利用来序列化作业的 ExecutionContext。
• 恶意用户获得对 JobRepository 使用的数据存储的写入权限（其中存储了要反序列化的数据）。

为了防止此类攻击，Jackson 会阻止一组不受信任的小工具类被反序列化。 在启用默认类型时，Spring Batch 应该主动阻止未知的“反序列化小工具”。

受影响的 Spring 产品和版本

• Spring Batch
  • 4.0.0 至 4.0.4
  • 4.1.0 至 4.1.4
  • 4.2.0 至 4.2.2

缓解措施

受影响版本的用户应升级到 4.2.3 或更高版本。 修复此问题的版本包括

• Spring Batch
  • 4.2.3

鸣谢

此问题由 Srikanth Ramu 发现并负责任地报告。

参考

• https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062
• https://github.com/spring-projects/spring-batch/issues/3729

历史

• 2020-06-10：发布初始漏洞报告。