Jackson 反序列化远程代码执行漏洞预警,腾讯御界支持检测

2019-07-31 16:54:18
Jackson官方发布安全issue,披露Jackson存在最新的反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14379),可对6月21日 披露的CVE-2019-12384漏洞绕过,成功利用可实现远程代码执行。

【漏洞简介】

近日,Jackson官方发布安全issue,披露Jackson存在最新的反序列化远程代码执行漏洞(CVE-2019-14361CVE-2019-14379),可对621日 披露的CVE-2019-12384漏洞绕过,成功利用可实现远程代码执行。建议Jackson的用户尽快升级至安全版本。

Jackson介绍】

Jackson是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将jsonxml转换成Java对象。

【风险评级】

CVE-2019-14379 高危

CVE-2019-14361 高危

【影响范围】

受影响版本

Jackson-databind < 2.9.9.2

Jackson-databind < 2.10.0

Jackson-databind < 2.7.9.6

Jackson-databind < 2.8.11.4

不受影响版本

Jackson-databind >= 2.9.9.2

Jackson-databind >= 2.10.0

Jackson-databind >= 2.7.9.6

Jackson-databind >= 2.8.11.4

【漏洞分析】

Jackson存在最新的反序列化远程代码执行漏洞(CVE-2019-14361CVE-2019-14439),可对621日 披露的CVE-2019-12384反序列化漏洞补丁的绕过。攻击者可通过精心构造恶意的JSON并提交到服务器端,实现远程代码执行。

【修复建议】

1.      使用到jackson-databind组件的服务,建议尽快升级jackson相关组件至最新版本,下载链接:

http://central.maven.org/maven2/com/fasterxml/jackson/core/jackson-databind/

2.      腾讯御界高级威胁检测系统已支持检测此类攻击


【参考】

https://github.com/FasterXML/jackson-databind/issues/2389

https://github.com/FasterXML/jackson-databind/issues/2387

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14379

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14361

最新资讯