软萌小仙自慰喷白浆,日韩av一区,二区,三区,日日夜夜精品视频,日日夜夜精品视频 ,欧美性色黄大片手机版,三级在线看中文字幕完整版

關(guān)于我們

質(zhì)量為本、客戶為根、勇于拼搏、務(wù)實(shí)創(chuàng)新

< 返回

Jackson-databind多個(gè)反序列化漏洞風(fēng)險(xiǎn)通告

發(fā)布時(shí)間:2021-01-09 15:50:20

尊敬的用戶,您好!

近日,互聯(lián)網(wǎng)安全運(yùn)營中心監(jiān)測到,FasterXML Jackson-databind官方發(fā)布安全通告,披露了Jackson-databind < 2.9.10.8從漏洞編號CVE-2020-36179起,至編號CVE-2020-36189的11個(gè)反序列化遠(yuǎn)程代碼執(zhí)行漏洞。

為避免您的業(yè)務(wù)受影響,棉花云安全建議您及時(shí)開展安全自查,如在受影響范圍,請您及時(shí)進(jìn)行更新修復(fù),避免被外部攻擊者入侵。

漏洞詳情

Jackson-databind是一套開源java高性能JSON處理器。

CVE-2020-36179:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在該漏洞,該漏洞是由于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS組件庫存在不安全的反序列化,導(dǎo)致攻擊者可以利用漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行

CVE-2020-36180:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在該漏洞,該漏洞是由于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS組件庫存在不安全的反序列化,導(dǎo)致攻擊者可以利用漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

CVE-2020-36181:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在該漏洞,該漏洞是由于org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS組件庫存在不安全的反序列化,導(dǎo)致攻擊者可以利用漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

CVE-2020-36182:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在該漏洞,該漏洞是由于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS組件庫存在不安全的反序列化,導(dǎo)致攻擊者可以利用漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

CVE-2020-36183:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在該漏洞,該漏洞是由于org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool組件庫存在不安全的反序列化,導(dǎo)致攻擊者可以利用漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

CVE-2020-36184:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在該漏洞,該漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource組件庫存在不安全的反序列化,導(dǎo)致攻擊者可以利用漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

CVE-2020-36185:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在該漏洞,該漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource組件庫存在不安全的反序列化,導(dǎo)致攻擊者可以利用漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

CVE-2020-36186:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在該漏洞,該漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource組件庫存在不安全的反序列化,導(dǎo)致攻擊者可以利用漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行

CVE-2020-36187:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在該漏洞,該漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource組件庫存在不安全的反序列化,導(dǎo)致攻擊者可以利用漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

CVE-2020-36188:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在該漏洞,該漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource組件庫存在不安全的反序列化,導(dǎo)致攻擊者可以利用漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行

CVE-2020-36189:

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在該漏洞,該漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource組件庫存在不安全的反序列化,導(dǎo)致攻擊者可以利用漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

風(fēng)險(xiǎn)等級

漏洞風(fēng)險(xiǎn)

攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行任意代碼

影響版本

jackson-databind 2.x < 2.9.10.8

安全版本

jackson-databind >= 2.9.10.8

修復(fù)建議

1.升級至官方最新版本2.9.10.8及以上

2.官方建議使用 jackson-databind > 2.10的版本,此版本使用白名單驗(yàn)證,可徹底杜絕此類風(fēng)險(xiǎn)。

3.針對無法升級jackson-databind的,可排查并將相關(guān)jar組件從應(yīng)用依賴中移除可阻止漏洞攻擊(可能會導(dǎo)致應(yīng)用不可用風(fēng)險(xiǎn))

官方下載鏈接:

https://github.com/FasterXML/jackson-databind/releases 


【備注】:建議您在升級前做好數(shù)據(jù)備份工作,避免出現(xiàn)意外


漏洞參考

https://nvd.nist.gov/vuln/detail/CVE-2020-36189 

https://nvd.nist.gov/vuln/detail/CVE-2020-36188 

https://nvd.nist.gov/vuln/detail/CVE-2020-36187 

https://nvd.nist.gov/vuln/detail/CVE-2020-36186 

https://nvd.nist.gov/vuln/detail/CVE-2020-36186 

https://nvd.nist.gov/vuln/detail/CVE-2020-36185 

https://nvd.nist.gov/vuln/detail/CVE-2020-36184 

https://nvd.nist.gov/vuln/detail/CVE-2020-36183 

https://nvd.nist.gov/vuln/detail/CVE-2020-36182 

https://nvd.nist.gov/vuln/detail/CVE-2020-36181 

https://nvd.nist.gov/vuln/detail/CVE-2020-36180 

https://nvd.nist.gov/vuln/detail/CVE-2020-36179


棉花云運(yùn)營部



/template/Home/Cloud/PC/Static

立即注冊棉花云賬號,開啟您的輕松上云之旅

立即注冊