Jackson-databind和fastjson远程代码执行漏洞风险通告
发布时间 2020-02-21漏洞编号和级别
CVE编号:CVE-2020-8840,危险级别:严重,CVSS分值:9.8
影响版本
1. FasterXML jackson-databind
受影响版本
2.0.0 <= FasterXML jackson-databind <= 2.9.10.2
不受影响版本
FasterXML jackson-databind = 2.8.11.5
FasterXML jackson-databind = 2.9.10.3(暂未发布)
2. fastjson
受影响版本
fastjson <= 1.2.62
漏洞概述
2月19日,NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行漏洞。受影响版本的jackson-databind中由于缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,可导致攻击者使用JNDI注入的方式实现远程代码执行。
在jackson-databind中的反序列化gadget也同样影响了fastjson,在开启了autoType功能的情况下(autoType功能默认关闭),攻击者利用该漏洞可实现在目标机器上的远程代码执行。
漏洞验证
暂无PoC/EXP。
修复建议
1. FasterXML jackson-databind
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,暂未发布新版本的请持续关注官方信息,下载链接:https://github.com/FasterXML/jackson-databind/releases。
2. fastjson
官方暂未发布针对此漏洞的修复版本,开启了autoType功能的受影响用户可通过关闭autoType来规避风险(autoType功能默认关闭),另建议将JDK升级到最新版本。
autoType关闭方法如下:
方法一:
在项目源码中全文搜索如下代码,找到并将此行代码删除:
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
方法二:
在JVM中启动项目时,切勿添加以下参数:
-Dfastjson.parser.autoTypeSupport=true
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2020-8840
京公网安备11010802024551号