漏洞预警FasterXML Jackson-databind多个反序列化漏洞

Posted 江苏智慧安全可信技术研究院

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞预警FasterXML Jackson-databind多个反序列化漏洞相关的知识,希望对你有一定的参考价值。

描述

2021年1月9日,Jackson-databind官方发布了一则安全通告。可信安全团队监控到 FasterXML Jackson-databind 多个反序列化漏洞。该漏洞影响范围较广,漏洞危害程度严重,可造成直接获取应用系统所在服务器的控制权限。

漏洞信息

  • 漏洞名称 : FasterXML Jackson-databind多个反序列化漏洞
  • 威胁等级 : 高危
  • 影响范围 :
    • Jackson-databind 2.0.0 - 2.9.10.7
  • 漏洞类型 : 远程代码执行

漏洞分析

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。对于存在漏洞的组件,攻击者可以将恶意代码通过传递构造恶意代码的字段传递给服务器,导致任意代码执行漏洞。

CVE-2020-36179

该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

CVE-2020-36180

该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

CVE-2020-36181

该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

CVE-2020-36182

该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

CVE-2020-36183

该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

CVE-2020-36184

该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

CVE-2020-36185

该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

CVE-2020-36186

该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

CVE-2020-36187

该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

CVE-2020-36188

该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

CVE-2020-36189

该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

解决方案

官方修复方案

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://github.com/FasterXML/jackson-databind/releases


以上是关于漏洞预警FasterXML Jackson-databind多个反序列化漏洞的主要内容,如果未能解决你的问题,请参考以下文章

漏洞通告FasterXML Jackson-databind 远程代码执行漏洞 (CVE-2020-35728)

漏洞预警Redis主从同步代码执行漏洞预警通告

FasterXML/Jackson-databind远程代码执行漏洞安全通告(CVE-2020-35728)

Fasterxml Jackson-databind漏洞分析与利用

预警通报关于SaltStack多个高危漏洞的预警通报

预警Zabbix SQL注入漏洞 威胁预警通告