Jackson-databind反序列化漏洞风险通告,腾讯安全支持全面检测

  • A+
所属分类:安全漏洞

2020年12月17日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35490/CVE-2020-35491),利用漏洞可导致远程执行服务器命令,腾讯云防火墙已支持检测拦截该漏洞利用。


1

漏洞详情


jackson-databind存在一处新的反序列化远程代码执行漏洞(CVE-2020-35490/CVE-2020-35491),该漏洞是由于org.apache.commons.dbcp2.datasources.PerUserPoolDataSource / org.apache.commons.dbcp2.datasources.SharedPoolDataSource
组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

jackson-databind是一套开源java高性能JSON处理器。


2漏洞编号


CVE-2020-35490

CVE-2020-35491


3

漏洞等级

中危


4

受影响的版本


jackson-databind 2.x < 2.9.10.8


5

安全版本


jackson-databind >= 2.9.10.8 (尚未推出)
jackson-databind >= 2.10.0


6

漏洞修复建议


1.官方尚未推出补丁,建议客户使用 jackson-databind > 2.10的版本,此版本使用白名单验证,可彻底杜绝此类风险。


2.针对无法升级jackson-databind的,排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)。

注:修复漏洞前请备份资料,并进行充分测试。


7

腾讯安全解决方案


1.腾讯T-Sec云防火墙规则库日期2020-12-18之后的版本,已支持对Jackson-databind反序列化漏洞利用进行检测和拦截,腾讯云防火墙内置的入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用;

2.腾讯T-Sec高级威胁检测系统(御界)规则库日期2020-12-18之后的版本,已支持对Jackson-databind反序列化漏洞利用的攻击检测;

3.腾讯T-SecWeb应用防火墙(WAF)已支持拦截Jackson-databind反序列化漏洞(CVE-2020-35490/CVE-2020-35491)。


欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。

Jackson-databind反序列化漏洞风险通告,腾讯安全支持全面检测


参考链接:

https://cowtowncoder.medium.com/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062
https://cowtowncoder.medium.com/jackson-2-10-safe-default-typing-2d018f0ce2ba
https://github.com/FasterXML/jackson-databind/issues/2986
https://nvd.nist.gov/vuln/detail/CVE-2020-35490
https://nvd.nist.gov/vuln/detail/CVE-2020-35491


Jackson-databind反序列化漏洞风险通告,腾讯安全支持全面检测

招聘广告

Jackson-databind反序列化漏洞风险通告,腾讯安全支持全面检测

腾讯安全研究团队欢迎渗透测试安全圈内同行加盟,有以下经历者优先:挖掘到的漏洞对安全圈产生重大影响力;参与国内外知名安全比赛,排名靠前;在高级别红蓝对抗演练中对所在攻击队拿分有突出贡献。有意请投简历到[email protected],诚邀加盟!


更多岗位信息,请点击这里查阅!


本文始发于微信公众号(腾讯安全威胁情报中心):Jackson-databind反序列化漏洞风险通告,腾讯安全支持全面检测

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: