Jackson-databind 反序列化漏洞(CVE-2020-35728)风险通告

sugar 2020-12-28
专栏 - 观点观察 发布于 2020-12-28 18:18:49 阅读 345 评论 0

jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35728),利用漏洞可导致远程执行服务器命令。

1 漏洞详情

jackson-databind存在一处反序列化远程代码执行漏洞(CVE-2020-35728),该漏洞是由于com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

jackson-databind是一套开源java高性能JSON处理器。

2 漏洞编号

CVE-2020-35728

3 漏洞等级

高危

4 受影响的版本

FasterXML jackson-databind 2.x < 2.9.10.8

5 安全版本

FasterXML jackson-databind >= 2.9.10.8

FasterXML jackson-databind >= 2.10.0

6 漏洞缓解建议

1.官方尚未推出补丁,建议客户使用 jackson-databind > 2.10的版本,此版本使用白名单验证,可彻底杜绝此类风险。

2.针对无法升级jackson-databind的,排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)。

注:修复漏洞前请备份资料,并进行充分测试。

欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。

图片

7 腾讯安全解决方案

1.腾讯T-Sec主机安全(云镜)漏洞库2020-12-28后的版本,已支持对Jackson-databind反序列化漏洞(CVE-2020-35728)进行检测。

2.腾讯 T-Sec Web应用防火墙(WAF)**已支持拦截Jackson-databind反序列化漏洞(CVE-2020-35728)。

参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2020-...

https://github.com/FasterXML/jackson-datab...

https://cowtowncoder.medium.com/on-jackson...

原创:腾讯安全威胁情报中心 今天
原创链接:https://mp.weixin.qq.com/s/mbgy9lpmJXn3gpk...

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!