无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

近日，金山云安全應(yīng)急響應(yīng)中心監(jiān)測到FasterXML Jackson官方團(tuán)隊(duì)發(fā)布了jackson-databind 2.9.10.6版本修復(fù)了多個(gè)反序列化安全漏洞。 

建議廣大用戶及時(shí)升級(jí)到安全版本，避免被黑客攻擊造成損失。

風(fēng)險(xiǎn)等級(jí)

中危

漏洞描述

FasterXML Jackson是美國FasterXML公司的一款適用于Java的數(shù)據(jù)處理工具。jackson-databind是其中的一個(gè)具有數(shù)據(jù)綁定功能的組件。Jackson是SpringBoot中首要選擇和默認(rèn)的轉(zhuǎn)換工具。

FasterXML jackson-databind 2.9.10.6之前的版本中存在多個(gè)反序列化安全漏洞，遠(yuǎn)程攻擊者可通過精心構(gòu)造的惡意載荷在系統(tǒng)上執(zhí)行任意代碼。

CVE-2020-24616：該漏洞源于Jackson上使用br.com.anteros:Anteros-DBCP 組件庫進(jìn)行了不安全的反序列化

issue #2827：該漏洞源于Jackson上使用org.arrahtec:profiler-core 組件庫進(jìn)行了不安全的反序列化

issue#2826：該漏洞源于Jackson上使用com.nqadmin.rowset:jdbcrowsetimpl 組件庫進(jìn)行了不安全的反序列化

issue#2798：該漏洞源于Jackson上使用com.pastdev.httpcomponents:configuration 組件庫進(jìn)行了不安全的反序列化

影響版本

jackson-databind < 2.9.10.6

修復(fù)建議

1. 盡快升級(jí)到升級(jí)到j(luò)ackson-databind 2.9.10.6 或更高版本

地址：

https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6

2. 在Jackson 2.10 中引入了Safe Default Typing白名單機(jī)制，可杜絕此類gadget的影響

如暫時(shí)無法升級(jí)，作為緩解措施，建議不要將反序列化接口暴露在外網(wǎng)；

參考鏈接

https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6

https://nvd.nist.gov/vuln/detail/CVE-2020-24616

https://github.com/FasterXML/jackson-databind/issues/2827

https://github.com/FasterXML/jackson-databind/issues/2826

https://github.com/FasterXML/jackson-databind/issues/2798

北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/08/27