无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

1月7日，金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到j(luò)ackson-databind官方發(fā)布安全更新，修復(fù)了11個(gè)反序列化漏洞，攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

本次修復(fù)的漏洞影響廣泛，風(fēng)險(xiǎn)較高。建議使用了FasterXML jackson-databind的用戶盡快升級(jí)至安全版本，避免遭受惡意攻擊。

風(fēng)險(xiǎn)等級(jí)

高危

漏洞描述

FasterXML Jackson是一款適用于Java的數(shù)據(jù)處理工具。jackson-databind是其中的一個(gè)具有數(shù)據(jù)綁定功能的核心組件之一。FasterXML jackson-databind 2.x < 2.9.10.8 版本均受影響。

CVE-2020-36179：

由于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS組件庫(kù)存在不安全的反序列化，攻擊者可能該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考：https://nvd.nist.gov/vuln/detail/CVE-2020-36179

CVE-2020-36180

由于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS組件庫(kù)存在不安全的反序列化，攻擊者利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考：https://nvd.nist.gov/vuln/detail/CVE-2020-36180

CVE-2020-36181

由于org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS組件庫(kù)存在不安全的反序列化，攻擊者利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考：https://nvd.nist.gov/vuln/detail/CVE-2020-36181

CVE-2020-36182

由于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS組件庫(kù)存在不安全的反序列化，導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考：https://nvd.nist.gov/vuln/detail/CVE-2020-36182

CVE-2020-36183

由于org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool組件庫(kù)存在不安全的反序列化，導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考：https://nvd.nist.gov/vuln/detail/CVE-2020-36183

CVE-2020-36184

由于org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource組件庫(kù)存在不安全的反序列化，導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考：https://nvd.nist.gov/vuln/detail/CVE-2020-36184

CVE-2020-36185

由于org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource組件庫(kù)存在不安全的反序列化，導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考：https://nvd.nist.gov/vuln/detail/CVE-2020-36185

CVE-2020-36186

由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource組件庫(kù)存在不安全的反序列化，導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考：https://nvd.nist.gov/vuln/detail/CVE-2020-36186

CVE-2020-36187

由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource組件庫(kù)存在不安全的反序列化，導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考：https://nvd.nist.gov/vuln/detail/CVE-2020-36187

CVE-2020-36188

由于com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource組件庫(kù)存在不安全的反序列化，導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考：https://nvd.nist.gov/vuln/detail/CVE-2020-36188

CVE-2020-36189

由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource組件庫(kù)存在不安全的反序列化，導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考：https://nvd.nist.gov/vuln/detail/CVE-2020-36189

影響版本

FasterXML jackson-databind 2.x < 2.9.10.8

修復(fù)建議

盡快升級(jí)至FasterXML jackson-databind2.9.10.8版本

相關(guān)項(xiàng)目可直接修改maven或下載jar包替換更新使用最新版本，可參考：

https://github.com/FasterXML/jackson-databind/releases

參考鏈接

[1] https://mp.weixin.qq.com/s/Axo9lEYQtQTB1QVkDjaNqw

北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2021/01/07