jackson-databind JNDI注入黑名单更新,可能造成RCE

2020-03-02 20:13:51
安全研究者 threedr3am,LFY 和 V1ZkRA向 FasterXML 提交了两个gadget,可用作jackson-databind的RCE(远程代码执行)。

【背景】

近日,安全研究者 threedr3amLFY V1ZkRA FasterXML 提交了两个gadget,可用作jackson-databindRCE(远程代码执行)。

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。

【漏洞详情】

两个gadget分别是ibatis-sqlmapmetrics-healthchecks。官方在2.10的版本中将这两个gadget加入黑名单。


若项目工程中存在这两个类中的任意一个类,则通过JNDI注入可造成RCE

利用ibatis-sqlmap复现:


【风险评级】中危


【影响版本】

1. 项目中还使用了ibatis-sqlmapmetrics-healthchecks组件。

2 .jackson-databind使用2.10.0之前的版本。


【修复建议】

升级jackson-databind2.10.0

Jackson 2.10 中引入了Safe Default Typing白名单机制,可杜绝此类gadget的影响。

详情请开发者参考:https://medium.com/@cowtowncoder/jackson-2-10-safe-default-typing-2d018f0ce2ba 

https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062

推荐企业用户部署腾讯安全T-Sec高级威胁检测系统(腾讯御界)对此类攻击行为进行检测。

腾讯安全T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。


参考链接:https://cloud.tencent.com/product/nta

参考:

https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.10 

https://medium.com/@cowtowncoder/jackson-2-10-safe-default-typing-2d018f0ce2ba

https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062 

https://qiita.com/shimizukawasaki/items/f8a3d1aa8412d3a4343a

最新资讯