FasterXML Jackson 多个反序列化安全漏洞
近日,金山云安全应急响应中心监测到FasterXML Jackson官方团队发布了jackson-databind 2.9.10.6版本修复了多个反序列化安全漏洞。
建议广大用户及时升级到安全版本,避免被黑客攻击造成损失。
风险等级
中危
漏洞描述
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。Jackson是SpringBoot中首要选择和默认的转换工具。
FasterXML jackson-databind 2.9.10.6之前的版本中存在多个反序列化安全漏洞,远程攻击者可通过精心构造的恶意载荷在系统上执行任意代码。
CVE-2020-24616:该漏洞源于Jackson上使用br.com.anteros:Anteros-DBCP 组件库进行了不安全的反序列化
issue #2827:该漏洞源于Jackson上使用org.arrahtec:profiler-core 组件库进行了不安全的反序列化
issue#2826:该漏洞源于Jackson上使用com.nqadmin.rowset:jdbcrowsetimpl 组件库进行了不安全的反序列化
issue#2798:该漏洞源于Jackson上使用com.pastdev.httpcomponents:configuration 组件库进行了不安全的反序列化
影响版本
jackson-databind < 2.9.10.6
修复建议
1. 尽快升级到升级到jackson-databind 2.9.10.6 或更高版本
地址:
https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6
2. 在Jackson 2.10 中引入了Safe Default Typing白名单机制,可杜绝此类gadget的影响
如暂时无法升级,作为缓解措施,建议不要将反序列化接口暴露在外网;
参考链接
https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6
https://nvd.nist.gov/vuln/detail/CVE-2020-24616
https://github.com/FasterXML/jackson-databind/issues/2827
https://github.com/FasterXML/jackson-databind/issues/2826
https://github.com/FasterXML/jackson-databind/issues/2798
北京金山云网络技术有限公司
2020/08/27