Jackson-databind和fastjson远程代码实行漏洞风险通告

发布时间 2020-02-21

漏洞编号和级别


CVE编号:CVE-2020-8840,危险级别:严重,CVSS分值:9.8


影响版本


1. FasterXML jackson-databind


受影响版本

2.0.0 <= FasterXML jackson-databind <= 2.9.10.2


不受影响版本

FasterXML jackson-databind = 2.8.11.5

FasterXML jackson-databind = 2.9.10.3(暂未发布)


2. fastjson


受影响版本

fastjson <= 1.2.62


漏洞概述


2月19日,NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码实行漏洞。受影响版本的jackson-databind中由于缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,可导致攻击者使用JNDI注入的方式实现远程代码实行。


在jackson-databind中的反序列化gadget也同样影响了fastjson,在开启了autoType功能的情况下(autoType功能默认关闭),攻击者利用该漏洞可实现在目标机器上的远程代码实行。


漏洞验证


暂无PoC/EXP。


修复建议


1. FasterXML jackson-databind


目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,暂未发布新版本的请持续关注官方信息,下载链接:https://github.com/FasterXML/jackson-databind/releases。


2. fastjson


官方暂未发布针对此漏洞的修复版本,开启了autoType功能的受影响用户可通过关闭autoType来规避风险(autoType功能默认关闭),另建议将JDK升级到最新版本。


autoType关闭方法如下:


方法一:

在项目源码中全文搜索如下代码,找到并将此行代码删除:

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);


方法二:

在JVM中启动项目时,切勿添加以下参数:

-Dfastjson.parser.autoTypeSupport=true


参考链接


https://nvd.nist.gov/vuln/detail/CVE-2020-8840