【中危】- Jackson-2662/2664/2666/jackson-databind JNDI注入导致远程代码执行
■ 漏洞描述
jackson-databind更新了4个jndi注入的黑名单类.如果在项目包中存在该类的jar包且JDK版本满足注入版本,则可以使用JNDI注入的方式导致远程代码执行。
■ 影响范围
1、jackson-databind < 2.11.0.rc1
2、fastjson 1.2.67(最新版)版本在开启autotype的情况下受影响
■ 漏洞检测
1、检测方法:查看系统版本。
■ 漏洞修复
1.更新到最新版本:https://github.com/FasterXML/jackson-databind/issues/2662
2.使用高版本JDK:https://www.oracle.com/java/technologies/javase-jdk8-downloads.html
■ 临时修复
1、Fastjson默认关闭autotype,如果项目中不需要该功能,可以删除以下代码:
ParserConfig.getGlobalInstance().setAutoTypeSupport(true)
■ 漏洞详情
https://mp.weixin.qq.com/s/4JzPRolR0cELL5g9bWM_eA
jackson-databind更新了4个jndi注入的黑名单类.如果在项目包中存在该类的jar包且JDK版本满足注入版本,则可以使用JNDI注入的方式导致远程代码执行。
■ 影响范围
1、jackson-databind < 2.11.0.rc1
2、fastjson 1.2.67(最新版)版本在开启autotype的情况下受影响
■ 漏洞检测
1、检测方法:查看系统版本。
■ 漏洞修复
1.更新到最新版本:https://github.com/FasterXML/jackson-databind/issues/2662
2.使用高版本JDK:https://www.oracle.com/java/technologies/javase-jdk8-downloads.html
■ 临时修复
1、Fastjson默认关闭autotype,如果项目中不需要该功能,可以删除以下代码:
ParserConfig.getGlobalInstance().setAutoTypeSupport(true)
■ 漏洞详情
https://mp.weixin.qq.com/s/4JzPRolR0cELL5g9bWM_eA