【缝隙布告】FasterXML Jackson 多个反序列化安全缝隙
2020-08-27 00:00:00
近日�,�,�,234钱包安全应急响应中心监测到FasterXML Jackson官方团队颁布了jackson-databind 2.9.10.6版本修复了多个反序列化安全缝隙�。��!
建议宽大用户实时升级到安全版本�,�,�,预防被黑客攻击造成损失�。��!
风险等级
中危
缝隙描述
FasterXML Jackson是美国FasterXML公司的一款合用于Java的数据处置工具�。��!ackson-databind是其中的一个具罕见据绑定职能的组件�。��!ackson是SpringBoot中首要选择和默认的转换工具�。��!
FasterXML jackson-databind 2.9.10.6之前的版本中存在多个反序列化安全缝隙�,�,�,远程攻击者可通过精心机关的恶意载荷在系统上执行肆意代码�。��!
CVE-2020-24616�:�:�:该缝隙源于Jackson上使用br.com.anteros:Anteros-DBCP 组件库进行了不安全的反序列化
issue #2827�:�:�:该缝隙源于Jackson上使用org.arrahtec:profiler-core 组件库进行了不安全的反序列化
issue#2826�:�:�:该缝隙源于Jackson上使用com.nqadmin.rowset:jdbcrowsetimpl 组件库进行了不安全的反序列化
issue#2798�:�:�:该缝隙源于Jackson上使用com.pastdev.httpcomponents:configuration 组件库进行了不安全的反序列化
影响版本
jackson-databind < 2.9.10.6
修复建议
1. 尽快升级到升级到jackson-databind 2.9.10.6 或更高版本
地址�:�:�:
https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6
2. 在Jackson 2.10 中引入了Safe Default Typing白名单机制�,�,�,可杜绝此类gadget的影响
如临时无法升级�,�,�,作为缓解措施�,�,�,建议不要将反序列化接口露出在外网;;�;
参考链接
https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6
https://nvd.nist.gov/vuln/detail/CVE-2020-24616
https://github.com/FasterXML/jackson-databind/issues/2827
https://github.com/FasterXML/jackson-databind/issues/2826
https://github.com/FasterXML/jackson-databind/issues/2798
北京234钱包网络技术有限公司
2020/08/27