FasterXML Jackson-databind多个远程代码执行漏洞

  • A+
所属分类:安全文章
近期,Jackson官方发布了几个远程代码执行漏洞信息,问题编号分别是:#2798,#2814(CVE-2020-24616),#2826,#2827。这些漏洞都是通过JNDI注入导致远程代码执行,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码


漏洞描述


1 FasterXML Jackson组件介绍

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。


2 漏洞描述



1.Jackson Databind#2798

利用类:

com.pastdev.httpcomponents.configuration.JndiConfiguration



2.Jackson Databind#2814(CVE-2020-24616)

利用类:

br.com.anteros.dbcp.AnterosDBCPDataSource



3.Jackson Databind#2826

利用类:com.nqadmin.rowset.JdbcRowSetImpl



4.Jackson Databind#2827

利用类:

org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl


这些漏洞都是通过JNDI注入导致远程代码执行,由于Jackson-databind 2.9.10.5及之前的版本里缺少了部分JNDI黑名单类,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。


漏洞复现


搭建Jackson-databind 环境,复现漏洞,效果如下图:


1.Jackson Databind#2798

FasterXML Jackson-databind多个远程代码执行漏洞

FasterXML Jackson-databind多个远程代码执行漏洞


2.Jackson Databind#2814


FasterXML Jackson-databind多个远程代码执行漏洞

FasterXML Jackson-databind多个远程代码执行漏洞



3.Jackson Databind#2826


FasterXML Jackson-databind多个远程代码执行漏洞

FasterXML Jackson-databind多个远程代码执行漏洞


4.Jackson Databind#2827


FasterXML Jackson-databind多个远程代码执行漏洞

FasterXML Jackson-databind多个远程代码执行漏洞


影响范围


目前受影响的Jackson-databind版本:

Jackson-databind <= 2.9.10.5


解决方案


1 修复建议

官方发布的最新版本已修复上述漏洞,请受影响的用户下载最新版本即可防御此漏洞利用攻击。


下载链接:

https://github.com/FasterXML/jackson-databind/releases


2 深信服解决方案


深信服下一代防火墙】预计8月28日,可防御此漏洞,建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。


深信服云盾】预计8月28日,从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。


深信服安全感知平台】预计8月28日,可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。


深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。预计8月28日对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。


时间轴


2020/8/26



深信服安全团队监测到FasterXML Jackson-databind 远程代码执行漏洞信息。

2020/8/27



深信服千里目安全实验室成功复现上述漏洞并发布漏洞分析文章。


参考链接


https://github.com/FasterXML/jackson-databind/issues/2827

https://github.com/FasterXML/jackson-databind/issues/2826

https://github.com/FasterXML/jackson-databind/issues/2814

https://github.com/FasterXML/jackson-databind/issues/2798




点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案

FasterXML Jackson-databind多个远程代码执行漏洞


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: