温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

如何进行JNDI注入导致远程代码执行漏洞jackson-databind-2653的通告

发布时间:2021-12-21 09:23:44 来源:亿速云 阅读:185 作者:柒染 栏目:大数据

这篇文章给大家介绍如何进行JNDI注入导致远程代码执行漏洞jackson-databind-2653的通告,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。

0x00 漏洞背景

2020年3月14日, 360CERT监测到jackson-databind官方发布一则issue,漏洞出现在shiro-core这个package

jackson-databind 是隶属 FasterXML 项目组下的JSON处理库。

该漏洞影响jackson-databind对 JSON 文本的处理流程。攻击者利用特制的请求可以触发远程代码执行,攻击成功可获得服务器的控制权限(Web服务等级),该漏洞同时影响开启了autotype选项的fastjson

0x01 风险等级

360CERT对该漏洞进行评定

评定方式等级
威胁等级中危
影响面一般

360CERT建议广大用户及时更新jackson-databind/fastjson版本。做好资产 自查/自检/预防 工作,以免遭受攻击。

0x02 影响版本

  • jackson-databind <= 2.10.3

  • fastjson <= 1.2.66

0x03 修复建议

更新jackson-databind到最新版本: https://github.com/FasterXML/jackson

同时 360CERT 强烈建议排查项目中是否使用shiro-core。该次漏洞的核心原因是 shiro-core 中存在特殊的利用链允许用户触发 JNDI 远程类加载操作。将 shiro-core 移除可以缓解漏洞所带来的影响。

0x04 漏洞证明

jackson-databind 2.10.3 版本

如何进行JNDI注入导致远程代码执行漏洞jackson-databind-2653的通告

fastjson 1.2.66 版本

如何进行JNDI注入导致远程代码执行漏洞jackson-databind-2653的通告

0x05 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞/事件 进行监测,请用户联系相关产品区域负责人获取对应产品。

关于如何进行JNDI注入导致远程代码执行漏洞jackson-databind-2653的通告就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI