漏洞描述

FasterXML Jackson發(fā)布了新的高危漏洞（漏洞編號：CVE-2020-24616），其官方團隊發(fā)布了 FasterXML jackson-databind 2.9.10.6版本，其中修復了幾個反序列化漏洞。漏洞存在于br.com.anteros:Anteros-DBCP庫中，攻擊者利用該漏洞可以繞過 jackson-databind 黑名單限制。攻擊者通過發(fā)送特制的請求包，實現遠程代碼執(zhí)行。

FasterXMLjackson-databind是一個簡單基于Java應用庫，Jackson可以輕松的將Java對象轉換成json對象和xml文檔，同樣也可以將json、xml轉換成Java對象。

聚銘網絡流量檢測方案

聚銘網絡流量審計規(guī)則庫：Data.2020.08.27.003410之后的版本，已支持對Jackson反序列化遠程代碼執(zhí)行漏洞的檢測

升級包鏈接 http://emrijsm.cn/index.php?id=4751

在線用戶可從云端自動升級

漏洞修復方案

升級到 jackson-databind 2.9.10.6

https://github.com/FasterXML/jackson-databind

漏洞等級

高危

影響范圍

jackson-databind  2.9.10.6以下版本

https://nvd.nist.gov/vuln/detail/CVE-2020-24616

https://github.com/FasterXML/jackson-databind/issues/2814

https : //medium.com/@cowtowncoder/jackson-2-10-safe-default-typing-2d018f0ce2ba