FasterXML Jackson-databind远程代码执行漏洞安全通告
发布时间 2019-07-23漏洞编号和级别
影响版本
受影响的版本
漏洞概述
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。
Jackson-databind可能允许攻击者通过利用无法阻止logback-core类进行多态反序列化而产生各种影响。根据类路径内容,可以造成远程代码执行。
漏洞验证
POC:https://blog.doyensec.com/2019/07/22/jackson-gadgets.html。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/FasterXML/jackson-databind/commit/c9ef4a10d6f6633cf470d6a469514b68fa2be234。
缓解措施:
此漏洞依赖于应用程序的ClassPath中存在的logback-core(ch.qos.logback.core)。停止使用存在logback-core的jackson-databind应用程序可避免此漏洞的影响。
参考链接
京公网安备11010802024551号