首页 文章 精选 留言 我的

snakeYAML <=1.33 存在反序列化漏洞

2022-12-03 2349

漏洞描述

snakeYAML 是一个将 YAML 文件与 Java 对象相互转换的开源代码库。

snakeYAML 受影响版本中的 Constructor 类由于没有对反序列化的类型进行限制,导致在处理恶意 yaml 内容时容易受到反序列化漏洞的影响。

缓解措施:使用 SnakeYaml 的 SafeConsturctor 类解析不受信任的内容

漏洞名称 snakeYAML <=1.33 存在反序列化漏洞
漏洞类型 输入验证不恰当
发现时间 2022-12-02
漏洞影响广度
MPS编号 MPS-2022-9425
CVE编号 CVE-2022-1471
CNVD编号 -

影响范围

org.yaml:snakeyaml@[1.4, 1.33]

修复方案

使用 SnakeYaml 的 SafeConsturctor 类解析不受信任的内容

参考链接

https://www.oscs1024.com/hd/MPS-2022-9425

https://nvd.nist.gov/vuln/detail/CVE-2022-1471

https://github.com/google/security-research/security/advisories/GHSA-mjmj-j48q-9wg2

Issue

    

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://www.oschina.net/news/220312

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Bitwarden v2022.11 发布,开源密码管理器

Bitwarden 是一款开源的密码管理服务,使用者可在加密的保管库中储存敏感信息。Bitwarden 平台提供有多种客户端应用程式,包括 Web 版本、桌面应用,浏览器扩展、移动端应用和 CLI 版本等。 日前 Bitwarden 更新了 Desktop、Web 和 CLI 版本,带来了以下多项更新内容: Desktop 更新了登录流程,将用户名和主密码分割成不同的页面 更新了选择和表单组的样式,以利于访问 在项目视图中添加文件夹 添加 Duckduckgo 的邮件转发服务 在保险库项目历史中显示创建日期 Web 更新了登录流程,将用户名和主密码分割成不同的页面 新的无密码登录选项,允许用户用已经认证的设备登录 对组织管理选项卡进行了重组,如新的账单和报告选项卡,以便更容易发现常见的 管理任务 SCIM 触发的事件将从 SCIM 记录,而不是 Unknown 默认情况下,SCIM API 密钥将被模糊化 改进了网络保险库的加载时间和有数千保险库项目的账户的性能 在重新发送验证邮件时处理已经验证的邮件 添加 DuckDuckGo 的邮件转发服务 在保险库项目历史中显示创建日期 CLI ...
2022-12-03
487
上一篇

每日一博 | Go 服务自动收集线上问题现场

前言 对于 pprof,相信熟悉 Go 语言的程序员基本都不陌生,一般线上的问题都是靠它可以快速定位。但是实际项目中,很多时候我们为了性能都不会开启它,但是出了问题又要靠它来分析。好在 go-zero 已经帮我们很好的集成进来了,我们只需要像开关一样去开启、关闭它即可,这样我们就可以配合运维监控,当出现 cpu、内存等异常情况时候,自动开始开启收集(比如大半夜你睡的正香的时候),那么第二天可以通过分析当时的采样还原现场,那我们看看 go-zero 是如何做的。 源码分析 我们可以看 go-zero 源码位置 https://github.com/zeromicro/go-zero/blob/master/core/proc/signals.go func init() { go func() { ... signals := make(chan os.Signal, 1) signal.Notify(signals, syscall.SIGUSR1, syscall.SIGUSR2, syscall.SIGTERM) for { v := &lt;-signals switch...
2022-12-03
457
下一篇

相关文章

发表评论

资源下载

更多资源
Oracle

Oracle

Oracle Database,又名Oracle RDBMS,或简称Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。

时间: 2025-12-03 大小: 2.6GB 下载: 112次
Apache Tomcat

Apache Tomcat

Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。因为Tomcat 技术先进、性能稳定,而且免费,因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的Web 应用服务器。

时间: 2025-12-03 大小: 10MB 下载: 35次
Eclipse

Eclipse

Eclipse 是一个开放源代码的、基于Java的可扩展开发平台。就其本身而言,它只是一个框架和一组服务,用于通过插件组件构建开发环境。幸运的是,Eclipse 附带了一个标准的插件集,包括Java开发工具(Java Development Kit,JDK)。

时间: 2025-12-05 大小: 190MB 下载: 34次
JDK

JDK

JDK是 Java 语言的软件开发工具包,主要用于移动设备、嵌入式设备上的java应用程序。JDK是整个java开发的核心,它包含了JAVA的运行环境(JVM+Java系统类库)和JAVA工具。

时间: 2025-12-12 大小: 180MB 下载: 77次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
ChatGPT Nacos SpringBoot K8s DeepSeek SpringCloud 服务网格 Jdk25 HarmonyOS NEXT Redis Docker

欢迎您!

登录后,您将获得更多功能!

热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273