8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

Fasterxml | Jackson 多个反序列化缝隙

颁布功夫 2020-08-27

0x00 缝隙概述

编号	issue:2798、issue:2814、issue:2826、issue:2827	时间	2020-08-27
类型		等级	高危
远程利用	是	影响领域	jackson-databind < 2.9.10.6

Fasterxml重要用于Java 平台的数据分析。。。。。。。jackson-databind是FasterXML项眼前的JSON库。。。。。。。

Fasterxml jackson-databind 2.9.10.6之前的版本中存在多个反序列化缝隙，，，，，，攻击者可通过精心机关的payload在系统上执行恶意代码，，，，，，Jackson是SpringBoot中首选和默认的转换工具。。。。。。。

0x01 缝隙详情

图片1.png

issue:2798

该问题是由于com.pastdev.httpcomponents:configuration 组件库存在不安全的反序列化。。。。。。。

issue:2814

该问题是由于br.com.anteros:Anteros-DBCP 组件库存在不安全的反序列化，，，，，，已分配CVE编号：CVE-2020-24616。。。。。。。

issue:2826

该问题是由于com.nqadmin.rowset:jdbcrowsetimpl 组件库存在不安全的反序列化。。。。。。。

issue:2827

该问题是由于org.arrahtec:profiler-core 组件库存在不安全的反序列化。。。。。。。

0x02 措置建议

升级到最新的版本，，，，，，如临时无法升级，，，，，，建议不容互联网接见反序列化接口。。。。。。。

0x03 有关新闻

0x04 参考链接

https://github.com/Fasterxml/jackson-databind/issues/2798

https://github.com/FasterXML/jackson-databind/issues/2814

https://github.com/Fasterxml/jackson-databind/issues/2826

https://github.com/Fasterxml/jackson-databind/issues/2827

0x05 功夫线

2020-08-27 VSRC颁布缝隙公告

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】