2021年1月6日,jackson-databind官方发布公告,通报了11个反序列化漏洞。漏洞风险等级为“高危”,攻击者利用漏洞可能实现远程代码执行。
1
漏洞详情
2021年1月6日,jackson-databind官方发布公告,通报了多个反序列化漏洞,漏洞风险等级为“高危”,攻击者利用漏洞可能实现远程代码执行。
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。
CVE-2020-36179
FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36179
CVE-2020-36180
FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36180
CVE-2020-36181
FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36181
CVE-2020-36182
FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36182
CVE-2020-36183
FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36183
CVE-2020-36184
FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36184
CVE-2020-36185
FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36185
CVE-2020-36186
FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36186
CVE-2020-36187
FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36187
CVE-2020-36188
FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36188
CVE-2020-36189
FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource组件库存在不安全的反序列化,导致攻击者可能利用漏洞实现远程代码执行。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36189
2
受影响的版本
FasterXML jackson-databind 2.x < 2.9.10.8
3
安全版本
FasterXML jackson-databind >= 2.9.10.8
4
漏洞缓解建议
1.腾讯安全专家建议受影响的用户将FasterXML jackson-databind升级到2.9.10.8;
2.针对无法升级jackson-databind的,排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)。
注:修复漏洞前请备份资料,并进行充分测试。
5
腾讯安全解决方案
1.腾讯T-Sec云防火墙规则库2021-1-7之后的版本,已支持对jackson-databind 多个反序列化漏洞利用的检测和拦截。腾讯云防火墙内置入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用;
2.腾讯T-Sec高级威胁检测系统(御界)规则库2021-1-7之后的版本,已支持对jackson-databind 多个反序列化漏洞利用的检测;
3.腾讯T-Sec主机安全(云镜)漏洞库2021-1-7之后的版本,已支持检测jackson-databind 多个反序列化漏洞;
4.腾讯T-Sec Web 应用防火墙(WAF)已支持防护jackson-databind 多个反序列化漏洞。
欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。
本文始发于微信公众号(腾讯安全威胁情报中心):Jackson-databind多个反序列化漏洞风险通告,腾讯安全全面检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论