日韩午夜精品一区|久久久久久久久九|9999久久精品|亚洲视频在线伊人|区区区区区区亚洲|婷婷五日丁香在线|欧美理伦一区二区|日韩精品九区AV|超碰人人操东京热|亚洲AV第六五区

官方公告

了解金山云最新公告

公告 > 安全公告 > 【風(fēng)險(xiǎn)通告】Jackson-databind多個(gè)反序列化漏洞
【風(fēng)險(xiǎn)通告】Jackson-databind多個(gè)反序列化漏洞

2021-01-08 00:00:00

1月7日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到j(luò)ackson-databind官方發(fā)布安全更新,修復(fù)了11個(gè)反序列化漏洞,攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。


本次修復(fù)的漏洞影響廣泛,風(fēng)險(xiǎn)較高。建議使用了FasterXML jackson-databind的用戶盡快升級至安全版本,避免遭受惡意攻擊。



風(fēng)險(xiǎn)等級


高危



漏洞描述


FasterXML Jackson是一款適用于Java的數(shù)據(jù)處理工具。jackson-databind是其中的一個(gè)具有數(shù)據(jù)綁定功能的核心組件之一。FasterXML jackson-databind 2.x < 2.9.10.8 版本均受影響。


CVE-2020-36179:

由于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS組件庫存在不安全的反序列化,攻擊者可能該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考:https://nvd.nist.gov/vuln/detail/CVE-2020-36179


CVE-2020-36180

由于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS組件庫存在不安全的反序列化,攻擊者利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考:https://nvd.nist.gov/vuln/detail/CVE-2020-36180


CVE-2020-36181

由于org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS組件庫存在不安全的反序列化,攻擊者利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考:https://nvd.nist.gov/vuln/detail/CVE-2020-36181


CVE-2020-36182

由于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS組件庫存在不安全的反序列化,導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考:https://nvd.nist.gov/vuln/detail/CVE-2020-36182


CVE-2020-36183

由于org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool組件庫存在不安全的反序列化,導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考:https://nvd.nist.gov/vuln/detail/CVE-2020-36183


CVE-2020-36184

由于org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource組件庫存在不安全的反序列化,導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考:https://nvd.nist.gov/vuln/detail/CVE-2020-36184


CVE-2020-36185

由于org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource組件庫存在不安全的反序列化,導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考:https://nvd.nist.gov/vuln/detail/CVE-2020-36185


CVE-2020-36186

由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource組件庫存在不安全的反序列化,導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考:https://nvd.nist.gov/vuln/detail/CVE-2020-36186


CVE-2020-36187

由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource組件庫存在不安全的反序列化,導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考:https://nvd.nist.gov/vuln/detail/CVE-2020-36187


CVE-2020-36188

由于com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource組件庫存在不安全的反序列化,導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考:https://nvd.nist.gov/vuln/detail/CVE-2020-36188


CVE-2020-36189

由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource組件庫存在不安全的反序列化,導(dǎo)致攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

可參考:https://nvd.nist.gov/vuln/detail/CVE-2020-36189



影響版本


FasterXML jackson-databind 2.x < 2.9.10.8



修復(fù)建議


盡快升級至FasterXML jackson-databind2.9.10.8版本

相關(guān)項(xiàng)目可直接修改maven或下載jar包替換更新使用最新版本,可參考:

https://github.com/FasterXML/jackson-databind/releases

 



參考鏈接


[1] https://mp.weixin.qq.com/s/Axo9lEYQtQTB1QVkDjaNqw






北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2021/01/07


上一篇:【新功能】云監(jiān)控-新接入5款產(chǎn)品以及新發(fā)布功能 下一篇:【風(fēng)險(xiǎn)通告】Apache Flink 高危漏洞