• 我的位置:
  • 正规网赌十大娱乐棋牌
  • -
  • 漏洞预警
  • -
  • 其他
  • -
    • fasterxml jackson-databind多个反序列化漏洞
    • cnnvd编号:未知
    • 危害等级: 高危 
    • cve编号:未知
    • 漏洞类型: 远程代码执行
    • 威胁类型:未知
    • 厂       商:深信服
    • 漏洞来源:深信服
    • 发布时间:2021-01-08
    • 更新时间:2021-01-13

    漏洞简介

    1、solarwinds介绍

    fasterxml jackson是美国fasterxml公司的一款适用于java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。jackson-databind可以将java对象转换成json对象,同样也可以将json转换成java对象。

    2、漏洞描述

    近日,深信服安全团队监测到jackson-databind官方发布了一则安全通告,通告披露了fasterxml jackson-databind组件的11个反序列化漏洞信息。

    cve-2020-36179

    该漏洞是由jndi注入导致远程代码执行, jackson-databind 2.0.0 - 2.9.10.7版本中缺少oadd.org.apache.commons.dbcp.cpdsadapter.driveradaptercpds的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现jndi注入,最终在受害主机上执行任意代码。 

    cve-2020-36180

    该漏洞是由jndi注入导致远程代码执行, jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.commons.dbcp2.cpdsadapter.driveradaptercpds的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现jndi注入,最终在受害主机上执行任意代码。

    cve-2020-36181

    该漏洞是由jndi注入导致远程代码执行, jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp.cpdsadapter.driveradaptercpds的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现jndi注入,最终在受害主机上执行任意代码。

    cve-2020-36182

    该漏洞是由jndi注入导致远程代码执行, jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp2.cpdsadapter.driveradaptercpds的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现jndi注入,最终在受害主机上执行任意代码。

    cve-2020-36183

    该漏洞是由jndi注入导致远程代码执行, jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.docx4j.org.apache.xalan.lib.sql.jndiconnectionpool的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现jndi注入,最终在受害主机上执行任意代码。

    cve-2020-36184

    该漏洞是由jndi注入导致远程代码执行, jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp2.datasources.peruserpooldatasource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现jndi注入,最终在受害主机上执行任意代码。

    cve-2020-36185

    该漏洞是由jndi注入导致远程代码执行, jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp2.datasources.sharedpooldatasource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现jndi注入,最终在受害主机上执行任意代码。 

    cve-2020-36186

    该漏洞是由jndi注入导致远程代码执行, jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp.datasources.peruserpooldatasource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现jndi注入,最终在受害主机上执行任意代码。 

    cve-2020-36187

    该漏洞是由jndi注入导致远程代码执行, jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.tomcat.dbcp.dbcp.datasources.sharedpooldatasource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现jndi注入,最终在受害主机上执行任意代码。 

    cve-2020-36188

    该漏洞是由jndi注入导致远程代码执行, jackson-databind 2.0.0 - 2.9.10.7版本中缺少com.newrelic.agent.deps.ch.qos.logback.core.db.jndiconnectionsource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现jndi注入,最终在受害主机上执行任意代码。 

    cve-2020-36189

    该漏洞是由jndi注入导致远程代码执行, jackson-databind 2.0.0 - 2.9.10.7版本中缺少com.newrelic.agent.deps.ch.qos.logback.core.db.drivermanagerconnectionsource的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现jndi注入,最终在受害主机上执行任意代码。 

    漏洞公示

    暂无

    参考网站

    暂无

    受影响实体

    目前受影响的jackson-databind 版本:

    jackson-databind  2.0.0 - 2.9.10.7

    补丁

    1、官方修复建议

    当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

    2、深信服正规网赌十大娱乐棋牌的解决方案

    深信服下一代防火墙】预计2021年1月8日后可轻松防御此漏洞,建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。

    深信服云盾】预计2021年1月8日后从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

    深信服安全感知平台】预计2021年1月8日后可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

    深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。