• 我的位置:
  • 首页
  • -
  • 漏洞预警
  • -
  • 其他
  • -
    • FasterXML Jackson-databind多个反序列化漏洞
    • CNNVD编号:未知
    • 危害等级: 高危 
    • CVE编号:未知
    • 漏洞类型: 远程代码执行
    • 威胁类型:未知
    • 厂       商:深信服
    • 漏洞来源:深信服
    • 发布时间:2021-01-08
    • 更新时间:2021-01-13

    漏洞简介

    1、SolarWinds介绍

    FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。

    2、漏洞描述

    近日,深信服安全团队监测到jackson-databind官方发布了一则安全通告,通告披露了FasterXML jackson-databind组件的11个反序列化漏洞信息。

    CVE-2020-36179

    该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。 

    CVE-2020-36180

    该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

    CVE-2020-36181

    该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

    CVE-2020-36182

    该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

    CVE-2020-36183

    该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

    CVE-2020-36184

    该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。

    CVE-2020-36185

    该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。 

    CVE-2020-36186

    该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。 

    CVE-2020-36187

    该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。 

    CVE-2020-36188

    该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。 

    CVE-2020-36189

    该漏洞是由JNDI注入导致远程代码执行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。 

    漏洞公示

    暂无

    参考网站

    暂无

    受影响实体

    目前受影响的Jackson-databind 版本:

    Jackson-databind  2.0.0 - 2.9.10.7

    补丁

    1、官方修复建议

    当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

    https://github.com/FasterXML/jackson-databind/releases

    2、深信服解决方案

    深信服下一代防火墙】预计2021年1月8日后可轻松防御此漏洞,建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。

    深信服云盾】预计2021年1月8日后从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

    深信服安全感知平台】预计2021年1月8日后可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

    深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。

    返回漏洞列表