从品牌网站建设到网络营销策划,从策略到执行的一站式服务
怎么分析FasterXML/jackson-databind 程代码执行漏洞,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。
目前创新互联已为数千家的企业提供了网站建设、域名、网站空间、网站改版维护、企业网站设计、灞桥网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。
2020年3月2日, 360CERT
监测到jackson-databind
为两例新的反序列化利用链申请了漏洞编号CVE-2020-9547和CVE-2020-9548
jackson-databind 是隶属 FasterXML 项目组下的JSON处理库。
该漏洞影响jackson-databind对 JSON 文本的处理流程。攻击者利用特制的请求可以触发远程代码执行,攻击成功可获得服务器的控制权限(Web服务等级),该漏洞同时影响开启了autotype选项的fastjson
360CERT对该漏洞进行评定
评定方式 | 等级 |
---|---|
威胁等级 | 中危 |
影响面 | 一般 |
360CERT建议广大用户及时更新jackson-databind/fastjson
版本。做好资产 自查/自检/预防 工作,以免遭受攻击。
jackson-databind < 2.10.0
1、更新jackson-databind到最新版本:
https://github.com/FasterXML/jackson
同时 360CERT
强烈建议排查项目中是否使用Anteros-Core
和ibatis-sqlmap
。该次漏洞的核心原因是 Anteros-Core
和ibatis-sqlmap
中存在特殊的利用链允许用户触发 JNDI 远程类加载操作。将 Anteros-Core
和ibatis-sqlmap
移除可以缓解漏洞所带来的影响。
CVE-2020-9547:
CVE-2020-9548:
关于怎么分析FasterXML/jackson-databind 程代码执行漏洞问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注创新互联行业资讯频道了解更多相关知识。
成都网站建设公司地址:成都市青羊区太升南路288号锦天国际A座10层 建设咨询028-86922220
成都快上网科技有限公司-四川网站建设设计公司 | 蜀ICP备19037934号 Copyright 2020,ALL Rights Reserved cdkjz.cn | 成都网站建设 | © Copyright 2020版权所有.
专家团队为您提供成都网站建设,成都网站设计,成都品牌网站设计,成都营销型网站制作等服务,成都建网站就找快上网! | 成都网站建设哪家好? | 网站建设地图