漏洞情报|Jackson-databind反序列化漏洞风险通告(CVE-2020-35490,CVE-2020-35491)

2020-12-18 5,653

2020年12月18日,腾讯云安全运营中心监测到,FasterXML Jackson-databind官方发布安全通告,披露Jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞,漏洞编号CVE-2020-35490、CVE-2020-35491

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Jackson-databind是一套开源java高性能JSON处理器。

据官方描述,Jackson-databind存在一处新的反序列化远程代码执行漏洞(CVE-2020-35790/CVE-2020-35491),该漏洞是由于org.apache.commons.dbcp2.datasources.PerUserPoolDataSource和org.apache.commons.dbcp2.datasources.SharedPoolDataSource

组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

风险等级

中风险

漏洞风险

攻击者可利用该漏洞远程执行任意代码

影响版本

jackson-databind 2.x < 2.9.10.8

安全版本

jackson-databind >= 2.9.10.8 (尚未推出)
jackson-databind >= 2.10.0

修复建议



1.官方尚未推出补丁,建议使用 jackson-databind > 2.10的版本,此版本使用白名单验证,可彻底杜绝此类风险。

2.针对无法升级jackson-databind的,排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)。

官方链接:

https://github.com/FasterXML/jackson-databind/releases

【备注】:建议您在升级前做好数据备份工作,避免出现意外

检测与防护

- 腾讯T-Sec云防火墙规则库日期2020-12-18之后的版本,已支持对Jackson-databind反序列化漏洞利用进行检测和拦截,腾讯云防火墙内置的入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用;

- 腾讯 T-Sec Web应用防火墙(WAF)已支持拦截Jackson-databind反序列化漏洞(CVE-2020-35490/CVE-2020-35491)

漏洞参考

https://github.com/FasterXML/jackson-databind/issues/2986


本文作者:云鼎实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/149623.html

Tags:
评论  (0)
快来写下你的想法吧!

云鼎实验室

文章数:49 积分: 164

我们正努力成为云上安全的技术领导者~

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号