描述

当配置为启用默认类型时，Jackson 包含一个反序列化漏洞，可能导致任意代码执行。Jackson 通过将已知的“反序列化 Gadget”列入黑名单来修复此漏洞。

Spring Batch 使用启用了全局默认类型的 Jackson 进行配置，这意味着通过之前的漏洞，如果满足以下所有条件，则可以执行任意代码

• Spring Batch 的 Jackson 支持被用来序列化作业的 ExecutionContext。
• 恶意用户获得对 JobRepository 使用的数据存储（存储要反序列化的数据的位置）的写入访问权限。

为了防止此类攻击，Jackson 阻止反序列化一组不受信任的 Gadget 类。在启用默认类型时，Spring Batch 应该主动阻止未知的“反序列化 Gadget”。

受影响的 Spring 产品和版本

• Spring Batch
  • 4.0.0 到 4.0.4
  • 4.1.0 到 4.1.4
  • 4.2.0 到 4.2.2

缓解措施

受影响版本的使用者应升级到 4.2.3 或更高版本。已修复此问题的版本包括：

• Spring Batch
  • 4.2.3

致谢

此问题由 Srikanth Ramu 发现并负责任地报告。

参考文献

• https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062
• https://github.com/spring-projects/spring-batch/issues/3729

历史记录

• 2020-06-10：发布初始漏洞报告。