安全動態(tài)

Jackson 多個反序列化安全漏洞(CVE-2020-24616),聚銘網(wǎng)絡(luò)流量智能分析審計系統(tǒng)支持檢測

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-08-27    瀏覽次數(shù):
 



漏洞描述

FasterXML Jackson發(fā)布了新的高危漏洞(漏洞編號:CVE-2020-24616),其官方團隊發(fā)布了 FasterXML jackson-databind 2.9.10.6版本,其中修復(fù)了幾個反序列化漏洞。漏洞存在于br.com.anteros:Anteros-DBCP庫中,攻擊者利用該漏洞可以繞過 jackson-databind 黑名單限制。攻擊者通過發(fā)送特制的請求包,實現(xiàn)遠程代碼執(zhí)行。

FasterXMLjackson-databind是一個簡單基于Java應(yīng)用庫,Jackson可以輕松的將Java對象轉(zhuǎn)換成json對象和xml文檔,同樣也可以將json、xml轉(zhuǎn)換成Java對象。


聚銘網(wǎng)絡(luò)流量檢測方案

聚銘網(wǎng)絡(luò)流量審計規(guī)則庫:Data.2020.08.27.003410之后的版本,已支持對Jackson反序列化遠程代碼執(zhí)行漏洞的檢測

升級包鏈接 http://qcjf.com.cn/index.php?id=4751

在線用戶可從云端自動升級


漏洞修復(fù)方案

升級到 jackson-databind 2.9.10.6

https://github.com/FasterXML/jackson-databind


漏洞等級

高危


影響范圍

jackson-databind  2.9.10.6以下版本


參考鏈接

https://nvd.nist.gov/vuln/detail/CVE-2020-24616

https://github.com/FasterXML/jackson-databind/issues/2814

https : //medium.com/@cowtowncoder/jackson-2-10-safe-default-typing-2d018f0ce2ba

 
 

上一篇:「重磅升級」聚銘網(wǎng)絡(luò)流量智能分析審計系統(tǒng)新版本發(fā)布

下一篇:Data.2020.08.27.003410