漏洞描述

FasterXML Jackson發(fā)布了新的高危漏洞（漏洞編號(hào)：CVE-2020-24616），其官方團(tuán)隊(duì)發(fā)布了 FasterXML jackson-databind 2.9.10.6版本，其中修復(fù)了幾個(gè)反序列化漏洞。漏洞存在于br.com.anteros:Anteros-DBCP庫(kù)中，攻擊者利用該漏洞可以繞過(guò) jackson-databind 黑名單限制。攻擊者通過(guò)發(fā)送特制的請(qǐng)求包，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

FasterXMLjackson-databind是一個(gè)簡(jiǎn)單基于Java應(yīng)用庫(kù)，Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔，同樣也可以將json、xml轉(zhuǎn)換成Java對(duì)象。

聚銘網(wǎng)絡(luò)流量檢測(cè)方案

聚銘網(wǎng)絡(luò)流量審計(jì)規(guī)則庫(kù)：Data.2020.08.27.003410之后的版本，已支持對(duì)Jackson反序列化遠(yuǎn)程代碼執(zhí)行漏洞的檢測(cè)

升級(jí)包鏈接 http://lduoba.com/index.php?id=4751

在線用戶可從云端自動(dòng)升級(jí)

漏洞修復(fù)方案

升級(jí)到 jackson-databind 2.9.10.6

https://github.com/FasterXML/jackson-databind

漏洞等級(jí)

高危

影響范圍

jackson-databind  2.9.10.6以下版本

https://nvd.nist.gov/vuln/detail/CVE-2020-24616

https://github.com/FasterXML/jackson-databind/issues/2814

https : //medium.com/@cowtowncoder/jackson-2-10-safe-default-typing-2d018f0ce2ba