Jackson-databind多个反序列化漏洞风险通告,腾讯安全全面检测

  • A+
所属分类:安全漏洞

2021年1月6日,jackson-databind官方发布公告,通报了11个反序列化漏洞。漏洞风险等级为“高危”,攻击者利用漏洞可能实现远程代码执行。


1

漏洞详情


2021年1月6日,jackson-databind官方发布公告,通报了多个反序列化漏洞,漏洞风险等级为“高危”,攻击者利用漏洞可能实现远程代码执行。

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。

CVE-2020-36179

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36179

CVE-2020-36180

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36180

CVE-2020-36181

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36181

CVE-2020-36182

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36182

CVE-2020-36183

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36183

CVE-2020-36184

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36184

CVE-2020-36185

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36185

CVE-2020-36186

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36186

CVE-2020-36187

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36187

CVE-2020-36188

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36188

CVE-2020-36189

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36189


2

受影响的版本


FasterXML jackson-databind 2.x < 2.9.10.8


3

安全版本


FasterXML jackson-databind >= 2.9.10.8


4

漏洞缓解建议


1.腾讯安全专家建议受影响的用户将FasterXML jackson-databind升级到2.9.10.8;

2.针对无法升级jackson-databind的,排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)。

注:修复漏洞前请备份资料,并进行充分测试。


5

腾讯安全解决方案


1.腾讯T-Sec云防火墙规则库2021-1-7之后的版本,已支持对jackson-databind 多个反序列化漏洞利用的检测和拦截。腾讯云防火墙内置入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用;

2.腾讯T-Sec高级威胁检测系统(御界)规则库2021-1-7之后的版本,已支持对jackson-databind 多个反序列化漏洞利用的检测;

3.腾讯T-Sec主机安全(云镜)漏洞库2021-1-7之后的版本,已支持检测jackson-databind 多个反序列化漏洞;

4.腾讯T-Sec Web 应用防火墙(WAF)已支持防护jackson-databind 多个反序列化漏洞。


欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。

Jackson-databind多个反序列化漏洞风险通告,腾讯安全全面检测

本文始发于微信公众号(腾讯安全威胁情报中心):Jackson-databind多个反序列化漏洞风险通告,腾讯安全全面检测

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: