【漏洞预警】jackson-databind 反序列化远程代码执行漏洞(CVE-2020-24616等)

2020年8月27日,阿里云应急响应中心监测到jackson-databind官方发布安全通告披露jackson-databind < 2.9.10.6存在反序列化远程代码执行漏洞(CVE-2020-246G : L ^ Z16等)。利用漏洞可导致远程执行服务器命令,官方git已发布公告说明,请使用到jackson-databind jar组件的用户尽快升级至安全版本。

漏洞描述

jackson-databind是一套开源java高性能JSON处理器,受影响版本的jackson-databind中 X (由于缺少黑名单类,如br.ps://www.fons.com.cn/tag/co" target="_blank">com.anteros:Anteros-DBCP,可导致攻击者实现远程代码执行,h h 8 % `` f q : N相关CVE号为CVE-2020-24616,漏洞需要相关jar组件才能成功利用,影响面适中。此次版本升级! o J j % z h官方还修复了多处利用链,包含org.arrahtec:m } (profiler-core、com.nqadmin.row_ q wset:jdb9 G i e 2 &crowsetimpl、com.pastdev.httpcomponents:configuration等。阿里云应急响应中心提醒jackson-datj k y y % P ] i mabind用户尽快采取安全措施阻止漏洞攻击。

风险评级

CVE-2020-8840 中危

影响版本

jackson-databind < 2.9.10.6

安全版本

jackson-databind >= 2.9.10.6

安全建议

以下任意一种方法均可实现漏洞修复

1、针对使用到jackson-databin# V F i T A c pd组f c K R E d 件的web服务升级jackson-databind组件至安全版本:https://repo1.maven.org/maven2/com/fasterxml/jackson/core/jacks] | L b ; 2on-databind/2.9.R a V J N V { s10.6/

https://githuH 4 F n k 1 ] ] Yb.com/FasterXML/jackson-databind/releases

2、针对无法升级jackson-databind的,排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)

相关链接

https://github.cV j f vom/FasterXML/jackson-databind/issues?q=labelQ j = P n W j 4%3ACVE+is%3Aclosedz n N / ^ w

我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联G C A系反馈。

阿里云应急响应中心

2020.08.27