1. 通告信息

2021年1月07日，安识科技A-Team团队监测到jackson-databind官方发布安全通告，通报了 jackson-databind的多个反序列化漏洞。FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。攻击者利用漏洞可实现远程代码执行。安识科技建议广大用户将FasterXML jackson-databind升级到安全版本，以免遭受漏洞攻击。

2. 漏洞概述

CVE-2020-36179：

此漏洞是由于

oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

CVE-2020-36180：

此漏洞是由于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

CVE-2020-36181：

此漏洞是由于org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

CVE-2020-36182：

此漏洞是由于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

CVE-2020-36183：

此漏洞是由于

org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

CVE-2020-36184：

此漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

CVE-2020-36185：

此漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

CVE-2020-36186：

此漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

CVE-2020-36187：

此漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

CVE-2020-36188：

此漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

CVE-2020-36189：

此漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

3. 漏洞危害 

攻击者利用这些高危漏洞，可以实现远程代码执行，存在极大的安全隐患。

4. 影响版本

漏洞影响的版本包括：

FasterXML jackson-databind 2.x < 2.9.10.8

5. 解决方案

安识科技建议广大用户尽快升级FasterXML jackson-databind至安全版本。

6. 时间轴

【-】2021年1月6日 jackson-databind官方发布公告

【-】2021年1月7日 安识科技A-Team团队根据官网公告分析

【-】2021年1月7日 安识科技A-Team团队发布安全通告

本文作者：安识科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/151170.html