【漏洞预警】FasterXML Jackson-databind多个反序列化漏洞
描述
2021年1月9日,Jackson-databind官方发布了一则安全通告。可信安全团队监控到 FasterXML Jackson-databind 多个反序列化漏洞。该漏洞影响范围较广,漏洞危害程度严重,可造成直接获取应用系统所在服务器的控制权限。
漏洞信息
-
漏洞名称 : FasterXML Jackson-databind多个反序列化漏洞 -
威胁等级 : 高危 -
影响范围 : -
Jackson-databind 2.0.0 - 2.9.10.7 -
漏洞类型 : 远程代码执行
漏洞分析
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。对于存在漏洞的组件,攻击者可以将恶意代码通过传递构造恶意代码的字段传递给服务器,导致任意代码执行漏洞。
CVE-2020-36179
该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。
CVE-2020-36180
该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。
CVE-2020-36181
该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。
CVE-2020-36182
该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。
CVE-2020-36183
该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。
CVE-2020-36184
该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。
CVE-2020-36185
该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。
CVE-2020-36186
该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。
CVE-2020-36187
该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。
CVE-2020-36188
该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。
CVE-2020-36189
该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。
解决方案
官方修复方案
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/FasterXML/jackson-databind/releases