- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
新华三攻防实验室
2021/01/08
Jackson是美国FasterXML公司的一款适用于Java的数据处理工具,jackson-databind是其中的一个具有数据绑定功能的组件。
2021年1月8日,新华三攻防实验室监测到jackson-databind官方发布了jackson-databind公告,通报了11个反序列化漏洞,漏洞编号为CVE-2020-36179至CVE-2020-36189。
近日Jackson-databind官方做出更新,加入了11个可用于反序列化的黑名单类,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响。攻击者可通过发送特制的JSON消息利用该漏洞执行任意代码,直接获取服务器控制权限。
该漏洞是由于Jackson黑名单过滤不完整而导致,当项目包中存在下面几个类时可以进行JNDI注入。服务端在反序列化传入的恶意json数据时,会触发远程JNDI注入,将远程类加载到本地执行,最终实现远程代码执行。
黑名单类如下:
oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS
org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS
org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS
org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS
org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool
org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource
org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource
org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource
org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource
com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource
com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource
目前针对此次更新的反序列化漏洞利用POC已经公开,受影响的用户请及时更新版本,漏洞利用成功的截图如下:
受影响版本:
2.0.0 <= FasterXML jackson-databind < 2.9.10.8
建议开发人员及时排查应用程序中Jackson-databind组件的引入情况,包括是否引入以及版本详情。以Maven项目为例,排查方法如下:
检查pom.xml相关文件对jackson-databind引入情况,查看当前使用的版本。
若当前版本在受影响范围内,则可能存在安全风险。
官方发布的新版本已经修复了此漏洞,请受影响的用户升级 jackson-databind 版本。下载地址:
https://github.com/Fasterxml/jackson-databind/releases
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.116版本支持对该漏洞的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。
2、新华三态势感知解决方案
新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
产品与解决方案
