漏洞情报｜Jackson-databind反序列化漏洞风险通告（CVE-2020-35490，CVE-2020-35491)

1. 漏洞提醒

2020年12月18日，腾讯云安全运营中心监测到，FasterXML Jackson-databind官方发布安全通告，披露Jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞，漏洞编号CVE-2020-35490、CVE-2020-35491。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

2. 漏洞详情

Jackson-databind是一套开源java高性能JSON处理器。

据官方描述，Jackson-databind存在一处新的反序列化远程代码执行漏洞（CVE-2020-35790/CVE-2020-35491），该漏洞是由于org.apache.commons.dbcp2.datasources.PerUserPoolDataSource和org.apache.commons.dbcp2.datasources.SharedPoolDataSource

组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

3. 漏洞风险等级

4. 修复建议

1.官方尚未推出补丁，建议使用 jackson-databind > 2.10的版本，此版本使用白名单验证，可彻底杜绝此类风险。

2.针对无法升级jackson-databind的，排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击（可能会导致应用不可用风险）。

5. 官方链接

https://github.com/FasterXML/jackson-databind/releases

【备注】：建议您在升级前做好数据备份工作，避免出现意外

6. 检测与防护

• 腾讯T-Sec云防火墙规则库日期2020-12-18之后的版本，已支持对Jackson-databind反序列化漏洞利用进行检测和拦截，腾讯云防火墙内置的入侵防御功能，使用虚拟补丁机制防御最新的漏洞利用；
• 腾讯 T-Sec Web应用防火墙（WAF）已支持拦截Jackson-databind反序列化漏洞（CVE-2020-35490/CVE-2020-35491)

7. 漏洞参考

https://github.com/FasterXML/jackson-databind/issues/2986