在2.9.10和2.10.0之前的所有版本的FasterXML jackson-databind中发现了一个缺陷

admin

0
文章

0
评论

2023-12-01 23:46:25 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危在2.9.10和2.10.0之前的所有版本的FasterXML jackson-databind中发现了一个缺陷

CVE编号

CVE-2019-14893

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-03-03

漏洞描述

在2.9.10和2.10.0之前的所有版本的FasterXML jackson-databind中发现了一个漏洞，该缺陷与xenant JNDI小工具结合使用多态类型处理方法（例如`enableDefaultTyping()）一起使用时，将允许使用xalan JNDI小工具对恶意对象进行多态反序列化。或@JsonTypeInfo使用Id.CLASS或Id.MINIMAL_CLASS或ObjectMapper.readValue可能从不安全的源实例化对象的任何其他方式。攻击者可以利用此漏洞执行任意代码。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://github.com/FasterXML/jackson-databind/commit/998efd708284778f29d83d7962a9bd935c228317

参考链接
https://access.redhat.com/errata/RHSA-2020:0729
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14893
https://github.com/FasterXML/jackson-databind/issues/2469
https://lists.apache.org/thread.html/r1b103833cb5bc8466e24ff0ecc5e75b45a70533...
https://lists.apache.org/thread.html/rf1bbc0ea4a9f014cf94df9a12a6477d24a27f52...
https://security.netapp.com/advisory/ntap-20200327-0006/
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	fasterxml	jackson-databind	*		Up to (excluding) 2.8.11.5
	运行在以下环境
	应用	fasterxml	jackson-databind	*	From (including) 2.9.0	Up to (excluding) 2.9.10
	运行在以下环境
	应用	redhat	decision_manager	7.0	-
	运行在以下环境
	应用	redhat	jboss_data_grid	7.0.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	7.0	-
	运行在以下环境
	应用	redhat	jboss_fuse	7.0.0	-
	运行在以下环境
	应用	redhat	openshift_container_platform	4.3	-
	运行在以下环境
	应用	redhat	process_automation	7.0	-
	运行在以下环境
	系统	debian_10	jackson-databind	*		Up to (excluding) 2.9.8-3+deb10u1
	运行在以下环境
	系统	debian_11	jackson-databind	*		Up to (excluding) 2.10.0-1
	运行在以下环境
	系统	debian_12	jackson-databind	*		Up to (excluding) 2.10.0-1
	运行在以下环境
	系统	debian_8	jackson-databind	*		Up to (excluding) 2.4.2-2+deb8u2
	运行在以下环境
	系统	debian_9	jackson-databind	*		Up to (excluding) 2.8.6-1+deb9u6
	运行在以下环境
	系统	debian_sid	jackson-databind	*		Up to (excluding) 2.10.0-1