CVE-2020-9546/7/8:FasterXML/jackson-databind 远程代码执行漏洞处置通告

阅读量272469

发布时间 : 2020-03-03 10:31:06

 

近日检测到CNVD发布CVE-2020-9546/CVE-2020-9547/CVE-2020-9548漏洞编号,360灵腾安全实验室判断漏洞等级为高,利用难度高 ,威胁程度高,有一定影响。建议用户根据使用情况酌情安装最新补丁,以免遭受黑客攻击。

 

0x00 漏洞概述

FasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方库,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。

三个利用链皆是黑名单绕过,在反序列化期间触发其指定的方法,最终实现JNDI注入远程代码执行。

 

0x01 漏洞详情

CVE-2020-9546

漏洞位于org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig中,通过将指定json键值指向ldap服务,反序列化期间调用setMetricRegistrysetHealthCheckRegistry方法

最终触发JNDI 注入,从而将远程类加载到本地执行并实现远程代码执行

CVE-2020-9547

漏洞位于com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig中,同样指向ldap恶意地址

进而触发JNDI 注入,从而将远程类加载到本地代码执行

CVE-2020-9548

反序列化br.com.anteros.dbcp.AnterosDBCPConfig时,通过键值指向ldap服务引用恶意类,同样触发setHealthCheckRegistry方法:

getObjectOrPerformJndiLookup()中调用可被利用的InitialContext.lookup链,触发JNDI 注入

最终实现远程代码执行

 

0x02 影响版本

2.0.0 <= FasterXML jackson-databind < 2.9.10.4

 

0x03 处置建议

升级 jackson-databind 新版本

https://github.com/Fasterxml/jackson-databind/releases

 

0x04 关于我们

灵腾安全实验室(REDTEAM)正式成立于2020年,隶属于360政企-实网威胁感知部;主攻研究方向包括红队技术、物理攻防、安全狩猎等前瞻技术,为 360AISA全流量威胁分析系统360天相资产威胁与漏洞管理系统360虎安服务器安全管理系统360蜃景攻击欺骗防御系统 核心产品提供安全赋能。

 

0x05 Reference

https://github.com/FasterXML/jackson-databind/issues/2634

https://nvd.nist.gov/vuln/detail/CVE-2020-9546

https://nvd.nist.gov/vuln/detail/CVE-2020-9547

https://nvd.nist.gov/vuln/detail/CVE-2020-9548

本文由360灵腾安全实验室原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/200010

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360灵腾安全实验室
分享到:微信

发表评论

360灵腾安全实验室

360灵腾安全实验室,隶属于360政企集团安服能力中心,聚焦金融行业。主要职能包括红队技术、安全狩猎等前瞻攻防技术预研、工具孵化。

  • 文章
  • 43
  • 粉丝
  • 211

热门推荐

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66