我指的是Java反序列化漏洞
(信息:https://www.christian-schneider.net/JavaDeserializationSecurityFAQ.html#main& https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet)
我目前正在使用此处列出的框架:
- Axis 1.4
- Axis-jaxrpc 1.4
- Apache Commons Beanutils 1.9.3
-> Not affected (since 1.9.3) ??
- Apache Commons Collections 3.2.2
-> Not affected (since 3.2.2 https://issues.apache.org/jira/browse/COLLECTIONS-580)
- Apache Commons Discovery 0.5
- Apache Commons Fileupload 1.3.2
-> AFFECTED (https://issues.apache.org/jira/browse/FILEUPLOAD-279)
- Apache Commons Logging 1.2
- Apache Commons Net 3.5
- EHCache Core 2.6.11
- Google gson 2.8.0
- Guava 21.0
- Java Mail API 1.5.6
- Java servlet API 3.1.0
- Java websocket API 1.1
- jsch 0.1.54
- log4j2 API 2.7
- log4j2 Core 2.7
- Apache Shiro 1.3.2
- Shiro Core 1.3.2
- Shiro EHCache 1.3.2
- Shiro Spring 1.3.2
- Shiro Web 1.3.2
-> Not affected (since 1.2.5 (https://issues.apache.org/jira/browse/SHIRO-550)
- slf4j API 1.7.22
- slf4j Simple 1.7.22
- WSDL4j 1.6.3
在我在Tomcat 8.0.32上运行的web应用程序中(未受影响)我已经发现1受影响而2受影响(至少我使用的版本)
是否有人知道其他框架是否受此漏洞影响?
或者当Google搜索没有向我提供有关受影响的框架的任何信息时,我如何检查它们是否受到影响?
编辑:我是否安全如果我在代码中不使用以下内容?
ObjectInputStream.readObject() ObjectInputStream.readUnshared()