漏洞描述
FasterXML Jackson发布了新的高危漏洞(漏洞编号:CVE-2020-24616),其官方团队发布了 FasterXML jackson-databind 2.9.10.6版本,其中修复了几个反序列化漏洞。漏洞存在于br.com.anteros:Anteros-DBCP库中,攻击者利用该漏洞可以绕过 jackson-databind 黑名单限制。攻击者通过发送特制的请求包,实现远程代码执行。
FasterXMLjackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
聚铭网络流量检测方案
聚铭网络流量审计规则库:Data.2020.08.27.003410之后的版本,已支持对Jackson反序列化远程代码执行漏洞的检测
升级包链接 http://www.juminfo.com/index.php?id=4751
在线用户可从云端自动升级
漏洞修复方案
升级到 jackson-databind 2.9.10.6
https://github.com/FasterXML/jackson-databind
漏洞等级
高危
影响范围
jackson-databind 2.9.10.6以下版本
https://nvd.nist.gov/vuln/detail/CVE-2020-24616
https://github.com/FasterXML/jackson-databind/issues/2814
https : //medium.com/@cowtowncoder/jackson-2-10-safe-default-typing-2d018f0ce2ba
上一篇:「重磅升级」聚铭网络流量智能分析审计系统新版本发布
下一篇:Data.2020.08.27.003410
