1,综述
Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
Jackson-databind中存在代码问题漏洞。该漏洞是由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者可通过发送特制的JSON消息利用该漏洞读取服务器上任意的本地文件,直接获取服务器控制权限。
2.漏洞概述
漏洞类型:远程代码执行漏洞
危险等级:高危
利用条件:Jackson-databind在受影响范围
受影响范围:Jackson-databind 2.X < 2.9.9.1
3.漏洞编号
CVE-2019-12384 Jackson-databind远程代码执行漏洞
4.漏洞描述
Jackson-databind中存在代码问题漏洞。该漏洞是由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者可通过发送特制的JSON消息利用该漏洞读取服务器上任意的本地文件,直接获取服务器控制权限。
5.修复建议
官方已经在2.9.9.1版本中修复该漏洞,请用户尽快升级至Jackson-databind2.9.9.1、2.10以上最新版本修复该漏洞,建议业务不繁忙时修复。
下载更新:https://github.com/FasterXML/jackson-databind/releases
或通过配置Maven的方式对应用升级并编译发布,配置方法如下:
com.fasterxml.jackson.core jackson-databind 2.9.9.1
6.即时检测
青藤云安全在漏洞爆出的第一时间,就已检测出该威胁并通知相关客户。
具体产品的使用方法:
登录青藤主机平台,选择漏洞检测功能进行检查。
来源:freebuf.com 2019-08-06 10:59:16 by: 青藤云安全
请登录后发表评论
注册