【漏洞通告】FasterXML Jackson-databind 远程代码执行漏洞 (CVE-2020-35728)

  • A+
所属分类:安全漏洞

2020年12月27日,FasterXML官方发布安全通告,修复了编号为 CVE-2020-35728的高危远程代码执行漏洞,公开致谢深信服千里目安全实验室

【漏洞通告】FasterXML Jackson-databind 远程代码执行漏洞 (CVE-2020-35728)

漏洞名称FasterXML Jackson-databind远程代码执行漏洞 CVE-2020-35728

威胁等级 : 高危

影响范围 : Jackson-databind 2.0.0 - 2.9.10.7

漏洞类型 : 远程代码执行

利用难度 : 简单


漏洞分析


1 FasterXML Jackson 组件介绍

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。


2 漏洞描述

2020年12月27日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35728),利用此漏洞可导致远程执行服务器命令。该漏洞是由JNDI注入导致远程代码执行,Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.glassfish.web/javax.servlet.jsp.jstl依赖中的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。


3 漏洞复现

搭建Jackson-databind 2.9.10.7环境,攻击者发送精心构造的恶意数据。效果如图:

【漏洞通告】FasterXML Jackson-databind 远程代码执行漏洞 (CVE-2020-35728)


影响范围


目前受影响的Jackson-databind版本:

Jackson-databind 2.0.0 - 2.9.10.7


解决方案


1 修复建议

官方发布的最新版本已经修复了此漏洞,请受影响的用户下载最新版本防御此漏洞。

下载链接:https://github.com/FasterXML/jackson-databind/releases


2 深信服解决方案

深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。

深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。


时间轴


2020/12/23  深信服千里目安全实验室提交漏洞信息至官方团队

2020/12/27  官方发布安全通告,并致谢深信服千里目安全实验室

2020/12/29  深信服千里目安全实验室发布漏洞通告


参考链接


https://github.com/FasterXML/jackson-databind/issues/2999


点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞通告】FasterXML Jackson-databind 远程代码执行漏洞 (CVE-2020-35728)


深信服千里目安全实验室

【漏洞通告】FasterXML Jackson-databind 远程代码执行漏洞 (CVE-2020-35728)

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们



推荐阅读:

  1. 【经典漏洞回顾】Microsoft Windows Win32k本地提权漏洞分析(CVE-2015-0057)

  2. 【漏洞通告】TerraMaster TOS多个漏洞通告

  3. 【漏洞通告】Microsoft Exchange Server外部实体注入漏洞(CVE-2020-17141/17143)

  4. 【漏洞通告】Windows本地提权漏洞(CVE-2020-17008)

  5. 【更新】Sonatype Nexus Repository Manager外部实体注入漏洞(CVE-2020-29436)


深信服千里目安全实验室

【漏洞通告】FasterXML Jackson-databind 远程代码执行漏洞 (CVE-2020-35728)

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们



本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】FasterXML Jackson-databind 远程代码执行漏洞 (CVE-2020-35728)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: