关于Jackson-databind远程代码执行漏洞的安全公告
发布日期:2020年-02月-21日

一、情况分析

2月19日,NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行漏洞(CVE-2020-8840),CVSS评分为9.8。受影响版本的jackson-databind中由于缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,可导致攻击者使用JNDI注入的方式实现远程代码执行。目前厂商已发布新版本完成漏洞修复,请相关用户及时升级进行防护。

二、影响范围

受影响版本

2.0.0 < ="FasterXML" jackson-databind <="2.9.10.2

不受影响版本

FasterXML jackson-databind = 2.8.11.5

FasterXML jackson-databind = 2.9.10.3(暂未发布)

三、处置建议

版本检测:

建议开发人员排查应用程序中对Jackson-databind组件的引入情况,包括是否引入以及版本详情。以Maven项目为例,可检查pom.xml相关文件对jackson-databind引入情况,查看当前使用的版本。若当前版本在受影响范围内,则可能存在安全风险。

官方升级:

目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,暂未发布新版本的请持续关注官方信息,下载链接:

https://github.com/FasterXML/jackson-databind/releases

开发人员也可通过配置Maven的方式对应用升级并编译发布

Baidu
sogou