安全通告 | Jackson发布更新,披露多个反序列化安全漏洞
近日,腾讯安全团队监控到 FasterXML Jackson 发布了新的cve漏洞(漏洞编号:CVE-2020-24616)同时腾讯安全团队监控到其官方团队发布了 jackson-databind 的新版本 2.9.10.6,其中修复了以下反序列化漏洞,对应issue编号:#2827 , #2826, #2798。
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.6之前的版本中存在安全漏洞,该漏洞源于进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷通过利用该漏洞在系统上执行任意代码。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。Jackson是SpringBoot中首选和默认的转换工具。
CVE-2020-24616
该漏洞源于Jackson 上使用
br.com.anteros:Anteros-DBCP 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。
issue:2827
该漏洞源于Jackson 上使用
org.arrahtec:profiler-core 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。
issue:2826
该漏洞源于Jackson 上使用
com.nqadmin.rowset:jdbcrowsetimpl 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。
issue:2798
该漏洞源于Jackson 上使用
com.pastdev.httpcomponents:configuration 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷该漏洞在系统上执行任意代码。
风险等级
漏洞风险
远程攻击者可借助特制的输入利用该漏洞在系统上执行任意代码。
影响版本
jackson-databind < 2.9.10.6
修复版本
jackson-databind 2.9.10.6 或更高的版本
修复建议
1. 推荐方案:升级到jackson-databind 2.9.10.6 或更高版本;
2. 在Jackson 2.10 中引入了Safe Default Typing白名单机制,可杜绝此类gadget的影响;
3. 如暂时无法升级,作为缓解措施,建议不要将有反序列化接口暴露在外网;
4. 推荐企业用户采取腾讯T-Sec Web应用防火墙检测并拦截Jackson反序列化漏洞的攻击。
腾讯安全解决方案——腾讯T-Sec Web应用防火墙
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
![姜美子子 用四个字形容一下你自己吧[并不简单] ](https://imgs.knowsafe.com:8087/img/aideep/2021/12/24/a5f0a394158e8aae1084702624f115a9.jpg?w=250)
腾讯云安全
关注网络尖刀微信公众号随时掌握互联网精彩
- 1 《习近平法治文选》第一卷出版发行 7904223
- 2 王曼昱4-2击败孙颖莎 卫冕女单冠军 7809197
- 3 中国连发赴日提醒为何让日本担忧 7713760
- 4 十五运会为何没有奖牌榜 7619252
- 5 解放军出动轰炸机编队巡航 解读来了 7520942
- 6 高市若继续铤而走险 日本将万劫不复 7425761
- 7 带这4个词的奶茶尽量别点 7329878
- 8 48岁三甲医院主任医师岗位上病逝 7231731
- 9 南京一公园被私人占有十年 7140215
- 10 央视曝光6666元包教包会养杀人蜂 7042828
