jackson-databind-2653: JNDI注入导致远程代码执行漏洞通告
jackson-databind-2653: JNDI注入导致远程代码执行漏洞通告
360-CERT [360CERT](javascript:void(0)???? 昨天
0x00 漏洞背景
2020年3月14日, 360CERT监测到jackson-databind官方发布一则issue,漏洞出现在shiro-core
这个package
jackson-databind
是隶属 FasterXML
项目组下的JSON处理库。
该漏洞影响jackson-databind
对 JSON 文本的处理流程。攻击者利用特制的请求可以触发远程代码执行,攻击成功可获得服务器的控制权限(Web服务等级),该漏洞同时影响开启了autotype
选项的fastjson
0x01 风险等级
360CERT对该漏洞进行评定
评定方式 | 等级 |
---|---|
威胁等级 | 中危 |
影响面 | 一般 |
360CERT建议广大用户及时更新jackson-databind/fastjson版本。做好资产 自查/自检/预防 工作,以免遭受攻击。
0x02 影响版本
- jackson-databind <= 2.10.3
- fastjson <= 1.2.66
0x03 修复建议
更新jackson-databind到最新版本: https://github.com/FasterXML/jackson
同时 360CERT 强烈建议排查项目中是否使用shiro-core
。该次漏洞的核心原因是 shiro-core
中存在特殊的利用链允许用户触发 JNDI 远程类加载操作。将 shiro-core
移除可以缓解漏洞所带来的影响。
0x04 漏洞证明
jackson-databind 2.10.3 版本
fastjson 1.2.66 版本
0x05 产品侧解决方案
360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞/事件 进行监测,请用户联系相关产品区域负责人获取对应产品。
0x06 时间线
2020-03-14 360CERT发布预警
0x07 参考链接
1.https://github.com/FasterXML/jackson-databind/issues/2653
转载自https://mp.weixin.qq.com/s/3iY3RQ0adXdhdLR7z0aGVw