報告編號:B6-2020-031401
更新日期:2020-03-14
0x01 漏洞背景
2020年3月14日, 360CERT監測到jackson-databind官方發佈一則issue,漏洞出現在shiro-core這個package
jackson-databind 是隸屬 FasterXML 項目組下的JSON處理庫。
該漏洞影響jackson-databind對 JSON 文本的處理流程。攻擊者利用特製的請求可以觸發遠程代碼執行,攻擊成功可獲得服務器的控制權限(Web服務等級),該漏洞同時影響開啟了autotype選項的fastjson
0x02 風險等級
360CERT對該漏洞進行評定
360CERT建議廣大用戶及時更新jackson-databind/fastjson版本。做好資產 自查/自檢/預防 工作,以免遭受攻擊。
0x03 影響版本
- jackson-databind <= 2.10.3
- fastjson <= 1.2.66
0x04 修復建議
更新jackson-databind到最新版本: https://github.com/FasterXML/jackson
同時 360CERT 強烈建議排查項目中是否使用shiro-core。該次漏洞的核心原因是 shiro-core 中存在特殊的利用鏈允許用戶觸發 JNDI 遠程類加載操作。將 shiro-core 移除可以緩解漏洞所帶來的影響。
0x05 漏洞證明
jackson-databind 2.10.3 版本
fastjson 1.2.66 版本
0x06 產品側解決方案
360城市級網絡安全監測服務
360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段,對該類 漏洞/事件 進行監測,請用戶聯繫相關產品區域負責人獲取對應產品。
0x07 時間線
2020-03-14 360CERT發佈預警
0x08 參考鏈接
- https://github.com/FasterXML/jackson-databind/issues/2653
閱讀更多 360CERT 的文章