阿里云首页> 安全公告> 【漏洞预警】jackson-databind 反序列化远程代码执行漏洞(CVE-2020-24616等)

【漏洞预警】jackson-databind 反序列化远程代码执行漏洞(CVE-2020-24616等)

2020年8月27日,阿里云应急响应中心监测到jackson-databind官方发布安全通告披露jackson-databind < 2.9.10.6存在反序列化远程代码执行漏洞(CVE-2020-24616等)。利用漏洞可导致远程执行服务器命令,官方git已发布公告说明,请使用到jackson-databind jar组件的用户尽快升级至安全版本。


漏洞描述

jackson-databind是一套开源java高性能JSON处理器,受影响版本的jackson-databind中由于缺少黑名单类,如br.com.anteros:Anteros-DBCP,可导致攻击者实现远程代码执行,其相关CVE号为CVE-2020-24616,漏洞需要相关jar组件才能成功利用,影响面适中。此次版本升级官方还修复了多处利用链,包含org.arrahtec:profiler-core、com.nqadmin.rowset:jdbcrowsetimpl、com.pastdev.httpcomponents:configuration等。阿里云应急响应中心提醒jackson-databind用户尽快采取安全措施阻止漏洞攻击。


风险评级

CVE-2020-8840 中危


影响版本

jackson-databind < 2.9.10.6


安全版本

jackson-databind >= 2.9.10.6


安全建议

以下任意一种方法均可实现漏洞修复

1、针对使用到jackson-databind组件的web服务升级jackson-databind组件至安全版本:https://repo1.maven.org/maven2/com/fasterxml/jackson/core/jackson-databind/2.9.10.6/

https://github.com/FasterXML/jackson-databind/releases

2、针对无法升级jackson-databind的,排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)


相关链接

https://github.com/FasterXML/jackson-databind/issues?q=label%3ACVE+is%3Aclosed



我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2020.08.27