Jackson-databind多个反序列化漏洞风险通告

作者：

发布时间：2021-01-07

　　近日，FasterXML Jackson-databind官方发布安全通告，披露Jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞，漏洞编号CVE-2020-36189，CVE-2020-36179。

　　为避免您的业务受影响，建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

　　漏洞详情

　　Jackson-databind是一套开源java高性能JSON处理器。

　　CVE-2020-36179：

　　据官方描述，FasterXML jackson-databind 2.x<2.9.10.8的版本存在该漏洞，该漏洞是由于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

　　CVE-2020-36189：

　　据官方描述，FasterXML jackson-databind 2.x < 2.9.10.8 的版本存在该漏洞，该漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

　　风险等级

　　高

　　漏洞风险

　　攻击者可利用该漏洞远程执行任意代码

　　影响版本

　　jackson-databind 2.x < 2.9.10.8

　　安全版本

　　jackson-databind >= 2.9.10.8

　　修复建议

　　1.升级至官方最新版本2.9.10.8及以上

　　2.官方建议使用 jackson-databind > 2.10的版本，此版本使用白名单验证，可彻底杜绝此类风险。

　　3.针对无法升级jackson-databind的，可排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)。