1、FasterXML Jackson 组件介绍

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象，同样也可以将json转换成Java对象。

2、漏洞描述

2020年12月27日，jackson-databind官方发布安全通告，披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞（CVE-2020-35728），利用此漏洞可导致远程执行服务器命令。该漏洞是由JNDI注入导致远程代码执行，Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.glassfish.web/javax.servlet.jsp.jstl依赖中的危险类黑名单，攻击者可以利用上述缺陷，绕过限制，实现JNDI注入，最终在受害主机上执行任意代码。

3、漏洞复现

搭建Jackson-databind 2.9.10.7环境，攻击者发送精心构造的恶意数据。效果如图：

目前受影响的Jackson-databind版本：

Jackson-databind 2.0.0 - 2.9.10.7

1、修复建议

官方发布的最新版本已经修复了此漏洞，请受影响的用户下载最新版本防御此漏洞。

下载链接：https://github.com/FasterXML/jackson-databind/releases

2、深信服解决方案

【深信服下一代防火墙】可轻松防御此漏洞， 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。

【深信服云盾】已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

【深信服安全感知平台】可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初，云端安全专家即对客户的网络环境进行漏洞扫描，保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险。