关于我们

质量为本、客户为根、勇于拼搏、务实创新、以我所能,为你而+,助力轻松触及云端

< 返回新闻公共列表

Jackson-databind多个反序列化漏洞风险通告

发布时间:2021-01-09 15:50:20

尊敬的用户,您好!

近日,互联网安全运营中心监测到,FasterXML Jackson-databind官方发布安全通告,披露了Jackson-databind < 2.9.10.8从漏洞编号CVE-2020-36179起,至编号CVE-2020-36189的11个反序列化远程代码执行漏洞

为避免您的业务受影响,棉花云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Jackson-databind是一套开源java高性能JSON处理器。

CVE-2020-36179:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行

CVE-2020-36180:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行

CVE-2020-36181:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行

CVE-2020-36182:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行

CVE-2020-36183:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行

CVE-2020-36184:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行

CVE-2020-36185:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行

CVE-2020-36186:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行

CVE-2020-36187:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行

CVE-2020-36188:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行

CVE-2020-36189:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行

风险等级

漏洞风险

攻击者可利用该漏洞远程执行任意代码

影响版本

jackson-databind 2.x < 2.9.10.8

安全版本

jackson-databind >= 2.9.10.8

修复建议

1.升级至官方最新版本2.9.10.8及以上

2.官方建议使用 jackson-databind > 2.10的版本,此版本使用白名单验证,可彻底杜绝此类风险。

3.针对无法升级jackson-databind的,可排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)

官方下载链接:

https://github.com/FasterXML/jackson-databind/releases 


【备注】:建议您在升级前做好数据备份工作,避免出现意外


漏洞参考

https://nvd.nist.gov/vuln/detail/CVE-2020-36189 

https://nvd.nist.gov/vuln/detail/CVE-2020-36188 

https://nvd.nist.gov/vuln/detail/CVE-2020-36187 

https://nvd.nist.gov/vuln/detail/CVE-2020-36186 

https://nvd.nist.gov/vuln/detail/CVE-2020-36186 

https://nvd.nist.gov/vuln/detail/CVE-2020-36185 

https://nvd.nist.gov/vuln/detail/CVE-2020-36184 

https://nvd.nist.gov/vuln/detail/CVE-2020-36183 

https://nvd.nist.gov/vuln/detail/CVE-2020-36182 

https://nvd.nist.gov/vuln/detail/CVE-2020-36181 

https://nvd.nist.gov/vuln/detail/CVE-2020-36180 

https://nvd.nist.gov/vuln/detail/CVE-2020-36179


棉花云运营部



/template/Home/mianhuayun/PC/Static