威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!

安全通告
威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!技术支持 安全通告

天融信关于FasterXML jackson-databind最新远程代码执行漏洞风险提示

发布时间:2019-03-06查看次数:61
分享到

0x00背景介绍

威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。

0x01漏洞描述

威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!近日,天融信阿尔法实验室跟踪到jackson-databind为两例新的反序列化利用链申请了漏洞编号CVE-2020-9547和CVE-2020-9548。如果项目中使用了Anteros-Core(1.0.0-1.2.1版本)或ibatis-sqlmap(2.3.4.726版本),且JDK版本满足注入条件,则可以使用JNDI注入的方式导致远程代码执行。 除此之外,该漏洞还影响开启了autotype选项的fastjson(autoType功能默认关闭)。

威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!互联网上已有相关POC,建议受影响用户尽快进行安全防护,避免受到攻击。

威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!CVE-2020-9547

CVE-2020-9548

0x02漏洞编号

CVE-2020-9547
CVE-2020-9548

0x03漏洞等级

高危

0x04受影响版本

Jackson-databind 2.0.0 - 2.9.10.3

0x05修复建议

官方发布的最新版本已经修复了此漏洞,请受影响的用户下载最新版本防御此漏洞。
下载链接:http://github.com/FasterXML/jackson

0x06支持热线

天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。

0x07声明

天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。

明升体育开户,恒利国际,现金开户_最受欢迎的平台 365bet,巴黎人,金沙_直接注册 梭哈,投注,赚钱游戏-官网威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!