1月7日�,234钱包安全应急响应中心监测到jackson-databind官方颁布安全更新�,修复了11个反序列化缝隙�,攻击者利用缝隙可实现远程代码执行�。�。�。
本次修复的缝隙影响宽泛�,风险较高�。�。�。建议使用了FasterXML jackson-databind的用户尽快升级至安全版本�,预防遭逢恶意攻击�。�。�。
风险等级
高危
缝隙描述
FasterXML Jackson是一款合用于Java的数据处置工具�。�。�。jackson-databind是其中的一个具罕见据绑定职能的主题组件之一�。�。�。FasterXML jackson-databind 2.x < 2.9.10.8 版本均受影响�。�。�。
CVE-2020-36179�:
由于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化�,攻击者可能该缝隙实现远程代码执行�。�。�。
可参考�:https://nvd.nist.gov/vuln/detail/CVE-2020-36179
CVE-2020-36180
由于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化�,攻击者利用该缝隙实现远程代码执行�。�。�。
可参考�:https://nvd.nist.gov/vuln/detail/CVE-2020-36180
CVE-2020-36181
由于org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化�,攻击者利用该缝隙实现远程代码执行�。�。�。
可参考�:https://nvd.nist.gov/vuln/detail/CVE-2020-36181
CVE-2020-36182
由于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化�,导致攻击者可利用该缝隙实现远程代码执行�。�。�。
可参考�:https://nvd.nist.gov/vuln/detail/CVE-2020-36182
CVE-2020-36183
由于org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存在不安全的反序列化�,导致攻击者可利用该缝隙实现远程代码执行�。�。�。
可参考�:https://nvd.nist.gov/vuln/detail/CVE-2020-36183
CVE-2020-36184
由于org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource组件库存在不安全的反序列化�,导致攻击者可利用该缝隙实现远程代码执行�。�。�。
可参考�:https://nvd.nist.gov/vuln/detail/CVE-2020-36184
CVE-2020-36185
由于org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource组件库存在不安全的反序列化�,导致攻击者可利用该缝隙实现远程代码执行�。�。�。
可参考�:https://nvd.nist.gov/vuln/detail/CVE-2020-36185
CVE-2020-36186
由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource组件库存在不安全的反序列化�,导致攻击者可利用该缝隙实现远程代码执行�。�。�。
可参考�:https://nvd.nist.gov/vuln/detail/CVE-2020-36186
CVE-2020-36187
由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource组件库存在不安全的反序列化�,导致攻击者可利用该缝隙实现远程代码执行�。�。�。
可参考�:https://nvd.nist.gov/vuln/detail/CVE-2020-36187
CVE-2020-36188
由于com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource组件库存在不安全的反序列化�,导致攻击者可利用该缝隙实现远程代码执行�。�。�。
可参考�:https://nvd.nist.gov/vuln/detail/CVE-2020-36188
CVE-2020-36189
由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource组件库存在不安全的反序列化�,导致攻击者可利用该缝隙实现远程代码执行�。�。�。
可参考�:https://nvd.nist.gov/vuln/detail/CVE-2020-36189
影响版本
FasterXML jackson-databind 2.x < 2.9.10.8
修复建议
尽快升级至FasterXML jackson-databind2.9.10.8版本
有关项目可直接批改maven或下载jar包代替更新使用最新版本�,可参考�:
https://github.com/FasterXML/jackson-databind/releases
参考链接
[1] https://mp.weixin.qq.com/s/Axo9lEYQtQTB1QVkDjaNqw
北京234钱包网络技术有限公司
2021/01/07