预警jackson-databind 反序列化远程代码执行漏洞(CVE-2020-8840)

释放双眼,带上耳机,听听看~!

2020年2月21日,本站安全专题监测到NVD发布安全通告披露jackson-databind <= 2.9.10.2存在反序列化远程代码执行漏洞(CVE-2020-8840),CVSS3评分9.8。利用漏洞可导致远程执行服务器命令,官方git已发布公告说明,请使用到jackson-databind jar组件的用户尽快升级至安全版本。

漏洞描述

jackson-databind是一套开源java高性能JSON处理器,受影响版本的jackson-databind中由于缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,可导致攻击者使用JNDI注入的方式实现远程代码执行,漏洞需要配合xbean-reflect-*.jar组件才能成功利用,影响面适中。本站安全专题提醒jackson-databind用户尽快采取安全措施阻止漏洞攻击。

风险评级

CVE-2020-8840 中危

影响版本

jackson-databind 2.9系列 < 2.9.10.3

jackson-databind 2.8系列 < 2.8.11.5

jackson-databind 低于2.8系列

安全版本

jackson-databind 2.10系列 全版本

jackson-databind 2.9系列 >= 2.9.10.3

jackson-databind 2.8系列 >= 2.8.11.5

安全建议

以下任意一种方法均可实现漏洞修复

1、针对使用到jackson-databind组件的web服务升级jackson-databind组件至安全版本:https://repo1.maven.org/maven2/com/fasterxml/jackson/core/jackson-databind/2.9.10.3/

https://github.com/FasterXML/jackson-databind/releases

2、针对无法升级jackson-databind的,排查并将xbean-reflect-*.jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)

相关链接

https://github.com/FasterXML/jackson-databind/issues/2620

https://nvd.nist.gov/vuln/detail/CVE-2020-8840

https://github.com/FasterXML/jackson-databind/releases

安全云中心默认防御此漏洞攻击

我们会关注后续进展,请随时关注官方公告。

内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。

本站安全专题

2020.02.21

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

预警kube-proxy边界限制访问绕过漏洞

2020-7-10 17:33:25

安全漏洞

预警Citrix系列产品多个高危漏洞

2020-7-11 17:26:23

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索