阿里云漏洞库

中危 FasterXML jackson-databind 至 2.9.10 JSON Endpoint 输入验证漏洞

CVE编号

CVE-2019-17531

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-10-13

漏洞描述

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。

FasterXML jackson-databind 2.0.0版本至2.9.10版本中存在安全漏洞。攻击者可利用该漏洞执行恶意的payload。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/FasterXML/jackson-databind/issues/2498

参考链接
https://access.redhat.com/errata/RHSA-2019:4192
https://access.redhat.com/errata/RHSA-2020:0159
https://access.redhat.com/errata/RHSA-2020:0160
https://access.redhat.com/errata/RHSA-2020:0161
https://access.redhat.com/errata/RHSA-2020:0164
https://access.redhat.com/errata/RHSA-2020:0445
https://github.com/FasterXML/jackson-databind/issues/2498
https://lists.apache.org/thread.html/b3c90d38f99db546de60fea65f99a924d540fae2...
https://lists.apache.org/thread.html/r1b103833cb5bc8466e24ff0ecc5e75b45a70533...
https://lists.apache.org/thread.html/r392099ed2757ff2e383b10440594e914d080511...
https://lists.apache.org/thread.html/rf1bbc0ea4a9f014cf94df9a12a6477d24a27f52...
https://lists.debian.org/debian-lts-announce/2019/12/msg00013.html
https://medium.com/%40cowtowncoder/on-jackson-cves-dont-panic-here-is-what-yo...
https://security.netapp.com/advisory/ntap-20191024-0005/
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	fasterxml	jackson-databind	*	From (including) 2.0.0	Up to (including) 2.9.10
	运行在以下环境
	系统	debian_10	jackson-databind	*		Up to (excluding) 2.9.8-3+deb10u2
	运行在以下环境
	系统	debian_11	jackson-databind	*		Up to (excluding) 2.10.1-1
	运行在以下环境
	系统	debian_12	jackson-databind	*		Up to (excluding) 2.10.1-1
	运行在以下环境
	系统	debian_8	jackson-databind	*		Up to (excluding) 2.4.2-2+deb8u2
	运行在以下环境
	系统	debian_9	jackson-databind	*		Up to (excluding) 2.8.6-1+deb9u7
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	jackson-databind	*		Up to (excluding) 2.9.8-8.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	jackson-databind	*		Up to (excluding) 2.9.8-8.ky10

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-502	可信数据的反序列化