jackson-databind 多个反序列化漏洞风险通告,腾讯安全全面检测

2021-01-07 10:51:47
2021年1月6日,jackson-databind官方发布公告,通报了多个反序列化漏洞。漏洞风险等级为“高危”,攻击者利用漏洞可实现远程代码执行。

202116日,jackson-databind官方发布公告,通报了多个反序列化漏洞,漏洞风险等级为“高危”,攻击者利用漏洞可实现远程代码执行


FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。

 

漏洞详情:

CVE-2020-36179 

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36179

CVE-2020-36180

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36180

CVE-2020-36181

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36181

CVE-2020-36182

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36182

CVE-2020-36183

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36183

CVE-2020-36184

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36184

CVE-2020-36185

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36185

CVE-2020-36186

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36186

CVE-2020-36187

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36187

CVE-2020-36188

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36188

CVE-2020-36189
FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞,该漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-36189


漏洞修复方案:

腾讯安全专家建议用户将FasterXML jackson-databind升级到2.9.10.8


注:修复漏洞前请备份资料,并进行充分测试。


腾讯安全解决方案:

1.腾讯T-Sec云防火墙规则库2021-1-7之后的版本,已支持对jackson-databind 多个反序列化漏洞利用的检测和拦截。腾讯云防火墙内置入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用;
2.腾讯T-Sec高级威胁检测系统(御界)规则库2021-1-7之后的版本,已支持对jackson-databind 多个反序列化漏洞利用的检测;

3.腾讯T-Sec主机安全(云镜)漏洞库2021-1-7之后的版本,已支持检测jackson-databind 多个反序列化漏洞;

4.腾讯T-Sec Web 应用防火墙(WAF)已支持防护jackson-databind 多个反序列化漏洞。


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯