凯发k8

首页 > 清静研究 > 清静转达 > 清静通告

Fasterxml | Jackson 多个反序列化误差

宣布时间 2020-08-27

0x00 误差概述

编号	issue:2798、issue:2814、issue:2826、issue:2827	时间	2020-08-27
类型		等级	高危
远程使用	是	影响规模	jackson-databind < 2.9.10.6

Fasterxml主要用于Java 平台的数据剖析。。。。。。。。jackson-databind是FasterXML项目下的JSON库。。。。。。。。

Fasterxml jackson-databind 2.9.10.6之前的版本中保存多个反序列化误差，，，，，，，攻击者可通过全心结构的payload在系统上执行恶意代码，，，，，，，Jackson是SpringBoot中首选和默认的转换工具。。。。。。。。

0x01 误差详情

图片1.png

issue:2798

该问题是由于com.pastdev.httpcomponents:configuration 组件库保存不清静的反序列化。。。。。。。。

issue:2814

该问题是由于br.com.anteros:Anteros-DBCP 组件库保存不清静的反序列化，，，，，，，已分派CVE编号：CVE-2020-24616。。。。。。。。

issue:2826

该问题是由于com.nqadmin.rowset:jdbcrowsetimpl 组件库保存不清静的反序列化。。。。。。。。

issue:2827

该问题是由于org.arrahtec:profiler-core 组件库保存不清静的反序列化。。。。。。。。

0x02 处置惩罚建议

升级到最新的版本，，，，，，，如暂时无法升级，，，，，，，建议榨取互联网会见反序列化接口。。。。。。。。

0x03 相关新闻

0x04 参考链接

https://github.com/Fasterxml/jackson-databind/issues/2798

https://github.com/FasterXML/jackson-databind/issues/2814

https://github.com/Fasterxml/jackson-databind/issues/2826

https://github.com/Fasterxml/jackson-databind/issues/2827

0x05 时间线

2020-08-27 VSRC宣布误差通告

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 凯发k8 版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】