FasterXML Jackson-databind 多个远程代码执行漏洞

一、漏洞分析

1 FasterXML Jackson组件介绍

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。

2 漏洞描述

近期,Jackson官方发布了几个远程代码执行漏洞信息,问题编号分别是:#2798,#2814(CVE-2020-24616),#2826,#2827。

 

Jackson Databind#2798

利用类:com.pastdev.httpcomponents.configuration.JndiConfiguration

Jackson Databind#2814(CVE-2020-24616)

利用类:br.com.anteros.dbcp.AnterosDBCPDataSource

Jackson Databind#2826

利用类:com.nqadmin.rowset.JdbcRowSetImpl

Jackson Databind#2827

利用类:org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl

 

这些漏洞都是通过JNDI注入导致远程代码执行,由于Jackson-databind 2.9.10.5及之前的版本里缺少了部分JNDI黑名单类,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。 

3 漏洞复现

搭建Jackson-databind 环境,复现漏洞,效果如下图:

 

Jackson Databind#2798

 图片1.png

图片2.png

Jackson Databind#2814

图片3.png

图片4.png

Jackson Databind#2826

 图片5.png

图片6.png

Jackson Databind#2827

 图片7.png

图片8.png

二、影响范围

目前受影响的Jackson-databind版本:

Jackson-databind <= 2.9.10.5

 

三、修复建议

官方发布的最新版本已修复上述漏洞,请受影响的用户下载最新版本即可防御此漏洞利用攻击。

下载链接:https://github.com/FasterXML/jackson-databind/releases


四、时间轴

2020/8/26  深信服安全团队监测到FasterXML Jackson-databind 远程代码执行漏洞信息。     

2020/8/27  深信服千里目安全实验室成功复现上述漏洞并发布漏洞分析文章。

 

五、参考链接

https://github.com/FasterXML/jackson-databind/issues/2827

https://github.com/FasterXML/jackson-databind/issues/2826

https://github.com/FasterXML/jackson-databind/issues/2814

https://github.com/FasterXML/jackson-databind/issues/2798


本文作者:深信服千里目安全实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/139865.html

Tags:
评论  (0)
快来写下你的想法吧!

深信服千里目安全实验室

文章数:185 积分: 1410

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号