【中危】- Jackson-databind远程代码执行漏洞风险通告(CVE-2020-24616)
■ 漏洞描述
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。
FasterXML jackson-databind 2.9.10.6之前的版本在处理序列化交互时可能导致远程代码执行。br.com.anteros:Anteros-DBCP中存在新的反序列化利用链,可以绕过jackson-databind黑名单限制,远程攻击者通过向使用该组件的web服务接口发送特制请求包,可以造成远程代码执行影响。
■ 影响范围
jackson-databind < 2.9.10.6
■ 漏洞检测
1、匹配系统版本。
2、是否使用Anteros-DBCP依赖。
■ 漏洞修复
升级到安全版本:jackson-databind 2.9.10.6,jackson-databind 2.10
下载地址:https://github.com/FasterXML/jackson-databind/releases
■ 临时修复
1、暂时无法升级,添加访问限制。
■ 漏洞详情
https://github.com/FasterXML/jackson-databind/issues/2814
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。
FasterXML jackson-databind 2.9.10.6之前的版本在处理序列化交互时可能导致远程代码执行。br.com.anteros:Anteros-DBCP中存在新的反序列化利用链,可以绕过jackson-databind黑名单限制,远程攻击者通过向使用该组件的web服务接口发送特制请求包,可以造成远程代码执行影响。
■ 影响范围
jackson-databind < 2.9.10.6
■ 漏洞检测
1、匹配系统版本。
2、是否使用Anteros-DBCP依赖。
■ 漏洞修复
升级到安全版本:jackson-databind 2.9.10.6,jackson-databind 2.10
下载地址:https://github.com/FasterXML/jackson-databind/releases
■ 临时修复
1、暂时无法升级,添加访问限制。
■ 漏洞详情
https://github.com/FasterXML/jackson-databind/issues/2814