一、漏洞分析
1 FasterXML Jackson组件介绍
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。
2 漏洞描述
近期,Jackson官方发布了几个远程代码执行漏洞信息,问题编号分别是:#2798,#2814(CVE-2020-24616),#2826,#2827。
Jackson Databind#2798
利用类:com.pastdev.httpcomponents.configuration.JndiConfiguration
Jackson Databind#2814(CVE-2020-24616)
利用类:br.com.anteros.dbcp.AnterosDBCPDataSource
Jackson Databind#2826
利用类:com.nqadmin.rowset.JdbcRowSetImpl
Jackson Databind#2827
利用类:org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl
这些漏洞都是通过JNDI注入导致远程代码执行,由于Jackson-databind 2.9.10.5及之前的版本里缺少了部分JNDI黑名单类,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行任意代码。
3漏洞复现
搭建Jackson-databind 环境,复现漏洞,效果如下图:
Jackson Databind#2798
Jackson Databind#2814
Jackson Databind#2826
Jackson Databind#2827
二、影响范围
三、修复建议
官方发布的最新版本已修复上述漏洞,请受影响的用户下载最新版本即可防御此漏洞利用攻击。
下载链接:https://github.com/FasterXML/jackson-databind/releases
四、时间轴
2020/8/26 深信服安全团队监测到FasterXML Jackson-databind 远程代码执行漏洞信息。
2020/8/27 深信服千里目安全实验室成功复现上述漏洞并发布漏洞分析文章。
五、参考链接
https://github.com/FasterXML/jackson-databind/issues/2827
https://github.com/FasterXML/jackson-databind/issues/2826
https://github.com/FasterXML/jackson-databind/issues/2814
https://github.com/FasterXML/jackson-databind/issues/2798
来源:freebuf.com 2020-08-28 10:29:17 by: 深信服千里目安全实验室
请登录后发表评论
注册