Jackson-databind远程命令执行漏洞预警(CVE-2019-12384)

举报
华为云客户服务中心 发表于 2019/07/24 15:47:59 2019/07/24
【摘要】 Jackson-databind远程命令执行漏洞预警(CVE-2019-12384)

一、概要

近日,华为云安全团队关注到外部安全人员披露了Jackson-databind反序列化远程命令执行漏洞(CVE-2019-12384), 该漏洞是由于Jackson黑名单过滤不完整而导致,攻击者可构造包含有恶意代码的json数据包对应用进行攻击,导致远程命令执行。FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。

 二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急。)

 三、影响范围

漏洞影响的产品版本包括:Jackson-databind 2.0.0 ~2.9.9.1

安全版本为:Jackson-databind >=2.9.9.1

 四、处置方案

官方已经在2.9.9.1及以上版本中修复该漏洞,请尽快升级至2.9.9.1及以上版本进行防护。

下载地址:https://github.com/FasterXML/jackson-databind/releases

注:修复漏洞前请将资料备份,并进行充分测试。


【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。