一、漏洞分析

1 FasterXML Jackson组件介绍

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象，同样也可以将json转换成Java对象。

2 漏洞描述

近期，Jackson官方发布了几个远程代码执行漏洞信息，问题编号分别是：#2798,#2814(CVE-2020-24616),#2826,#2827。

Jackson Databind#2798

利用类：com.pastdev.httpcomponents.configuration.JndiConfiguration

Jackson Databind#2814（CVE-2020-24616）

利用类：br.com.anteros.dbcp.AnterosDBCPDataSource

Jackson Databind#2826

利用类：com.nqadmin.rowset.JdbcRowSetImpl

Jackson Databind#2827

利用类：org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl

这些漏洞都是通过JNDI注入导致远程代码执行，由于Jackson-databind 2.9.10.5及之前的版本里缺少了部分JNDI黑名单类，攻击者可以利用上述缺陷，绕过限制，实现JNDI注入，最终在受害主机上执行任意代码。

3漏洞复现

搭建Jackson-databind 环境，复现漏洞，效果如下图：

Jackson Databind#2798

Jackson Databind#2814

Jackson Databind#2826

Jackson Databind#2827

二、影响范围

目前受影响的Jackson-databind版本：

Jackson-databind <= 2.9.10.5

三、修复建议

官方发布的最新版本已修复上述漏洞，请受影响的用户下载最新版本即可防御此漏洞利用攻击。

下载链接：https://github.com/FasterXML/jackson-databind/releases

四、时间轴

2020/8/26  深信服安全团队监测到FasterXML Jackson-databind 远程代码执行漏洞信息。

2020/8/27  深信服千里目安全实验室成功复现上述漏洞并发布漏洞分析文章。

五、参考链接

https://github.com/FasterXML/jackson-databind/issues/2827

https://github.com/FasterXML/jackson-databind/issues/2826

https://github.com/FasterXML/jackson-databind/issues/2814

https://github.com/FasterXML/jackson-databind/issues/2798

来源：freebuf.com 2020-08-28 10:29:17 by: 深信服千里目安全实验室