jackson-databind 远程代码执行漏洞预警(CVE-2020-8840)
近日,华为云关注到jackson-databind的2.0.0至2.9.10.3版本中存在一个反序列化远程代码执行漏洞(CVE-2020-8840)。FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具,jackson-databind是其中的一个具有数据绑定功能的核心组件之一。由于缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,可导致攻击者使用JNDI注入的方式实现远程代码执行。
华为云提醒使用jackson-databind的用户及时安排自检并做好安全加固。
参考链接:
https://github.com/FasterXML/jackson-databind/issues/2620#
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
2.0.0 <= FasterXML jackson-databind Version <= 2.9.10.2
安全版本:
jackson-databind 2.8系列 >= 2.8.11.5
jackson-databind 2.9系列 >= 2.9.10.3
jackson-databind 2.10系列
四、漏洞排查&处置
漏洞排查(满足以下3个条件受漏洞影响):
a. Jackson-databind版本在受影响范围内;
b. 打开了enableDefaultTyping()(该配置默认是关闭的);
c. 使用了xbean-reflect库。
漏洞处置:
目前官方已在最新版本中修复了该漏洞,请受影响的用户升级至安全版本。
下载地址:https://github.com/FasterXML/jackson-databind/releases
注:修复漏洞前请将资料备份,并进行充分测试。
- 点赞
- 收藏
- 关注作者
评论(0)