服务公告

全部公告 > 安全公告 > jackson-databind 反序列化远程代码执行漏洞预警(CVE-2020-24616)

jackson-databind 反序列化远程代码执行漏洞预警(CVE-2020-24616)

2020-08-26

一、概要

近日,华为云关注到jackson-databind官方发布最新版本,当中修复了一处反序列化远程代码执行漏洞(CVE-2020-24616),漏洞存在于br.com.anteros:Anteros-DBCP库类中,攻击者可以通过精心构造的请求包在受影响的 Jackson 服务器上进行远程代码执行。

华为云提醒使用jackson-databind的用户及时安排自检并做好安全加固。

参考链接:

https://github.com/FasterXML/jackson-databind/issues/2814

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

jackson-databind < 2.9.10.6 

安全版本:

jackson-databind 2.9.10.6

四、漏洞处置

目前官方已在最新版本中修复了该漏洞,请受影响的用户升级至安全版本。

下载地址:https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6

目前,华为云WAF已具备对该漏洞攻击的防御能力,华为云WAF用户将Web基础防护的状态设置为“拦截”模式即可,具体方法请参见 配置Web基础防护规则

注:修复漏洞前请将资料备份,并进行充分测试。