【漏洞情报】Jackson-databind反序列化漏洞情报

【漏洞详情】

Jackson-databind是一套开源java高性能JSON处理器,近日,平安云安全中心监测到,FasterXML Jackson-databind官方发布安全通告,披露了两个高危反序列化远程代码执行漏洞:

CVE-2020-36179:由于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

CVE-2020-36189:由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。 

【漏洞评级】

高危

【 影响范围】

l  jackson-databind 2.x < 2.9.10.8

【修复建议】

官方已发布安全版本,建议受影响的用户结合实际业务评估漏洞风险影响,可通过如下方案避免安全风险。

方案一,升级至 jackson-databind > 2.10版本

方案二,如无法升级jackson-databind版本,可结合业务需求,将相关jar组件从应用依赖中移除

【参考链接】

https://nvd.nist.gov/vuln/detail/CVE-2020-36189

https://nvd.nist.gov/vuln/detail/CVE-2020-36179

特别提醒:安全加固前请进行充分测试,并务必做好数据备份和快照,防止出现意外。

平安云

2021年1月7日

咨询·建议

电话咨询

400-151-8800

邮件咨询

cloud@pingan.com

在线客服

工单支持

解决云产品相关技术问题