漏洞描述
近日,亚信安全网络攻防实验室跟踪到jackson-databind更新了4个jndi注入的黑名单类.如果在项目包中存在该类的jar包且JDK版本满足注入版本,则可以使用JNDI注入的方式导致远程代码执行.类名如下:
org.aoju.bus.proxy.provider.RmiProvider
org.aoju.bus.proxy.provider.remoting.RmiProvider
org.apache.activemq.jms.pool.XaPooledConnectionFactory
org.apache.commons.proxy.provider.remoting.RmiProvider
漏洞编号
Jackson内部编号2662
Jackson内部编号2664
Jackson内部编号2666
漏洞威胁等级
中危
不受影响范围
jackson-databind > 2.11.0.rc1
漏洞验证
使用jackson-databind 2.11.0.rc1验证
老邻居fastjson 1.2.67(最新版)版本在开启autotype的情况下受影响
修复建议
1.更新到最新版本
2.使用高版本JDK
时间轴
[0] 2020/03/26 FasterXML官方修复该漏洞
[1] 2020/03/26 亚信安全网络攻防实验室分析&复现该漏洞并发布漏洞通告
Reference
https://github.com/FasterXML/jackson-databind/issues/2662
https://github.com/FasterXML/jackson-databind/issues/2664
https://github.com/FasterXML/jackson-databind/issues/2666