安全通告 | Jackson发布更新，披露多个反序列化安全漏洞

近日，腾讯安全团队监控到 FasterXML Jackson 发布了新的cve漏洞（漏洞编号：CVE-2020-24616）同时腾讯安全团队监控到其官方团队发布了 jackson-databind 的新版本 2.9.10.6，其中修复了以下反序列化漏洞，对应issue编号：#2827 , #2826, #2798。

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。

FasterXML jackson-databind 2.9.10.6之前的版本中存在安全漏洞，该漏洞源于进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷通过利用该漏洞在系统上执行任意代码。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。Jackson是SpringBoot中首选和默认的转换工具。

• CVE-2020-24616

该漏洞源于Jackson 上使用

br.com.anteros:Anteros-DBCP 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。

• issue:2827

该漏洞源于Jackson 上使用

org.arrahtec:profiler-core 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。

• issue:2826

该漏洞源于Jackson 上使用 

com.nqadmin.rowset:jdbcrowsetimpl 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。

• issue:2798

该漏洞源于Jackson 上使用

com.pastdev.httpcomponents:configuration 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷该漏洞在系统上执行任意代码。

风险等级

中风险

漏洞风险

远程攻击者可借助特制的输入利用该漏洞在系统上执行任意代码。

影响版本

• jackson-databind < 2.9.10.6

修复版本

• jackson-databind    2.9.10.6 或更高的版本

修复建议

官方已发布新版本修复该漏洞，腾讯云安全建议您：

1. 推荐方案：升级到jackson-databind 2.9.10.6 或更高版本；

2. 在Jackson 2.10 中引入了Safe Default Typing白名单机制，可杜绝此类gadget的影响；

3. 如暂时无法升级，作为缓解措施，建议不要将有反序列化接口暴露在外网；

4. 推荐企业用户采取腾讯T-Sec Web应用防火墙检测并拦截Jackson反序列化漏洞的攻击。

腾讯安全解决方案——腾讯T-Sec Web应用防火墙

腾讯T-Sec Web应用防火墙（Web Application Firewall）已支持拦截防御此 jackson-databind 反序列化漏洞。更多腾讯T-Sec Web应用防火墙信息，请点击「阅读原文」查看?。

参考链接：

1）官方通告以及升级链接:

https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6

2）https://nvd.nist.gov/vuln/detail/CVE-2020-24616

3）https://github.com/FasterXML/jackson-databind/issues/2827

4）https://github.com/FasterXML/jackson-databind/issues/2826

5）https://github.com/FasterXML/jackson-databind/issues/2798

6）https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062

关注腾讯云安全获取更多资讯

点右下角「在看」

开始我们的故事