Jackson-databind远程命令执行漏洞预警(CVE-2019-12384)
【摘要】 Jackson-databind远程命令执行漏洞预警(CVE-2019-12384)
一、概要
近日,华为云安全团队关注到外部安全人员披露了Jackson-databind反序列化远程命令执行漏洞(CVE-2019-12384), 该漏洞是由于Jackson黑名单过滤不完整而导致,攻击者可构造包含有恶意代码的json数据包对应用进行攻击,导致远程命令执行。FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急。)
三、影响范围
漏洞影响的产品版本包括:Jackson-databind 2.0.0 ~2.9.9.1
安全版本为:Jackson-databind >=2.9.9.1
四、处置方案
官方已经在2.9.9.1及以上版本中修复该漏洞,请尽快升级至2.9.9.1及以上版本进行防护。
下载地址:https://github.com/FasterXML/jackson-databind/releases
注:修复漏洞前请将资料备份,并进行充分测试。
【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)