威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!

安全通告
威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!技术支持 安全通告

天融信关于Jackson-databind远程代码执行漏洞(CVE-2020-8840)风险提示

发布时间:2019-02-21查看次数:121
分享到

0x00背景介绍

威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!近日,天融信阿尔法实验室跟踪到jackson-databind更新了JNDI注入的黑名单类,并发布了新版本,如果在项目包中存在该类的jar包且JDK版本满足注入条件,则可以使用JNDI注入的方式导致远程代码执行。

0x01漏洞描述

FasterXML jackson-databind 2.10版本里增加了黑名单类。
威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!例如org.apache.xbean.propertyeditor.JndiConverter 这个类可以用来JNDI注入。由于旧版本中没有黑名单类来限制使用该类,导致在旧版本中利用此类会存在远程代码执行漏洞。

0x02漏洞编号

CVE-2020-8840

0x03漏洞等级

高危

0x04受影响版本

0x05修复建议

威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!更新到最新版本,如果是用maven来管理依赖,请更改version 为2.10.2并编译发布

0x06支持热线

威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。

0x07声明

天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。

明升体育开户,恒利国际,现金开户_最受欢迎的平台 365bet,巴黎人,金沙_直接注册 梭哈,投注,赚钱游戏-官网威尼斯人官方_威尼斯人app_威尼斯人赌球||欧洲杯赛最佳平台!