CVE-2020-24616:FasterXML Jackson多个反序列化安全漏洞
近日,金山云安全应急响应中心监测到FasterXML Jackson官方团队发布了jackson-databind 2.9.10.6版本修复了多个反序列化安全漏洞。 建议广大用户及时升级到安全版本,避免被黑客攻击造成损失。 漏洞描述 FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。Jackson是SpringBoot中首选和默认的转换工具。 FasterXML jackson-databind 2.9.10.6之前的版本中存在多个反序列化安全漏洞,远程攻击者可通过精心构造的恶意载荷在系统上执行任意代码。 CVE-2020-24616:该漏洞源于Jackson上使用br.com.anteros:Anteros-DBCP 组件库进行了不安全的反序列化 issue #2827:该漏洞源于Jackson上使用org.arrahtec:profiler-core 组件库进行了不安全的反序列化 issue#2826:该漏洞源于Jackson上使用com.nqadmin.rowset:jdbcrowsetimpl 组件库进行了不安全的反序列化 issue#2798:该漏洞源于Jackson上使用com.pastdev.httpcomponents:configuration 组件库进行了不安全的反序列化 风险等级 中危 影响版本 jackson-databind < 2.9.10.6 修复建议 1. 尽快升级到升级到jackson-databind 2.9.10.6 或更高版本地址: https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.62. 在Jackson 2.10 中引入了Safe Default Typing白名单机制,可杜绝此类gadget的影响 如暂时无法升级,作为缓解措施,建议不要将反序列化接口暴露在外网。 参考链接 https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6 https://nvd.nist.gov/vuln/detail/CVE-2020-24616 https://github.com/FasterXML/jackson-databind/issues/2827 https://github.com/FasterXML/jackson-databind/issues/2826 https://github.com/FasterXML/jackson-databind/issues/2798 https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062 |
全部评论
暂无评论
最新文章
热点排行
-
1文件存储 NAS 和 对象存储 OSS 的区别
-
2天翼云云电脑 | 让电视一秒变身电脑
-
3阿里工程师太凶残了,竟把服务器泡在“水里”!
-
4腾讯云 | 想在微信群里发起9人以上的语音聊天怎么办?
-
5数据仓库终结者:Dremio
-
62020年云服务器哪家强:阿里云、腾讯云、华为云、UCloud测评报告
-
72020 年 Q1 中国云市场份额:阿里云第一、华为云跃居第二、腾讯云下降为第三
-
8阿里云 web 应用防火墙(WAF)价格:179元/年
-
92020 Q1 中国公有云市场份额 TOP3:阿里云、腾讯云、华为云
-
10郑大一附院系统瘫痪 2 小时,运维人员被判 5 年半:破坏计算机信息系统罪
有话要说