這篇文章將為大家詳細(xì)講解有關(guān)怎么分析FasterXML/jackson-databind 遠(yuǎn)程代碼執(zhí)行漏洞，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

成都創(chuàng)新互聯(lián)公司是專業(yè)的班瑪網(wǎng)站建設(shè)公司，班瑪接單;提供網(wǎng)站設(shè)計、網(wǎng)站建設(shè),網(wǎng)頁設(shè)計,網(wǎng)站設(shè)計,建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行班瑪網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊,希望更多企業(yè)前來合作!

0x00 漏洞背景

2020年02月21日， 360CERT監(jiān)測到jackson-databind為一例新的反序列化利用鏈申請了漏洞編號CVE-2020-8840。

jackson-databind 是隸屬 FasterXML 項目組下的JSON處理庫。

該漏洞影響jackson-databind對 JSON 文本的處理流程。攻擊者利用特制的請求可以觸發(fā)遠(yuǎn)程代碼執(zhí)行，攻擊成功可獲得服務(wù)器的控制權(quán)限（Web服務(wù)等級）。

0x01 風(fēng)險等級

360CERT對該漏洞進(jìn)行評定

評定方式	等級
威脅等級	中危
影響面	一般

360CERT建議廣大用戶及時更新jackson-databind版本。做好資產(chǎn) 自查/自檢/預(yù)防 工作，以免遭受攻擊。

0x02 影響版本

jackson-databind 2.0.0 ~ 2.9.10.2

0x03 修復(fù)建議

升級 jackson-databind 至

• 2.9.10.3

• 2.8.11.5

• 2.10.x

同時 360CERT 強(qiáng)烈建議排查項目中是否使用 xbean-reflect。該次漏洞的核心原因是xbean-reflect 中存在特殊的利用鏈允許用戶觸發(fā)JNDI遠(yuǎn)程類加載操作。將xbean-reflect移除可以緩解漏洞所帶來的影響。

0x04 漏洞證明

在處理JSON內(nèi)容時觸發(fā)代碼執(zhí)行。

同時jackson-databind被多個項目依賴，易被用戶忽略。360CERT 建議用戶遵從修復(fù)建議進(jìn)行逐一排查。

0x05 產(chǎn)品側(cè)解決方案

360城市級網(wǎng)絡(luò)安全監(jiān)測服務(wù)

360安全大腦的QUAKE資產(chǎn)測繪平臺通過資產(chǎn)測繪技術(shù)手段，對該類 漏洞/事件 進(jìn)行監(jiān)測，請用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人獲取對應(yīng)產(chǎn)品。

360AISA全流量威脅分析系統(tǒng)

360AISA基于360海量安全大數(shù)據(jù)和實(shí)戰(zhàn)經(jīng)驗訓(xùn)練的模型，進(jìn)行全流量威脅檢測，實(shí)現(xiàn)實(shí)時精準(zhǔn)攻擊告警，還原攻擊鏈。

目前產(chǎn)品具備該漏洞/攻擊的實(shí)時檢測能力。

關(guān)于怎么分析FasterXML/jackson-databind 遠(yuǎn)程代碼執(zhí)行漏洞就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

網(wǎng)頁標(biāo)題：怎么分析FasterXML/jackson-databind遠(yuǎn)程代碼執(zhí)行漏洞
網(wǎng)址分享：http://aaarwkj.com/article38/psoopp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設(shè)計公司、網(wǎng)站設(shè)計公司、用戶體驗、ChatGPT、商城網(wǎng)站、企業(yè)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)