- cnnvd编号:未知
- 危害等级: 高危
- cve编号:cve-2020-35728
- 漏洞类型: 远程代码执行
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2020-12-31
- 更新时间:2021-01-13
漏洞简介
1、fasterxml jackson 组件介绍
fasterxml jackson是美国fasterxml公司的一款适用于java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。jackson-databind可以将java对象转换成json对象,同样也可以将json转换成java对象。
2、漏洞描述
2020年12月27日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(cve-2020-35728),利用此漏洞可导致远程执行服务器命令。该漏洞是由jndi注入导致远程代码执行,jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.glassfish.web/javax.servlet.jsp.jstl依赖中的危险类黑名单,攻击者可以利用上述缺陷,绕过限制,实现jndi注入,最终在受害主机上执行任意代码。
3、漏洞复现
搭建jackson-databind 2.9.10.7环境,攻击者发送精心构造的恶意数据。效果如图:
漏洞公示
参考网站
受影响实体
目前受影响的jackson-databind版本:
jackson-databind 2.0.0 - 2.9.10.7
补丁
1、修复建议
官方发布的最新版本已经修复了此漏洞,请受影响的用户下载最新版本防御此漏洞。
下载链接:
2、深信服正规网赌十大娱乐棋牌的解决方案
【深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。
【深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
【深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。
