一、概要

近日，華為云安全團(tuán)隊(duì)關(guān)注到外部安全人員披露了Jackson-databind最新反序列化遠(yuǎn)程命令執(zhí)行漏洞（CVE-2019-14439）， 該漏洞可對CVE-2019-12384漏洞繞過，攻擊者可以通過精心構(gòu)造的請求包在受影響的 Jackson 服務(wù)器上進(jìn)行遠(yuǎn)程代碼執(zhí)行。FasterXML Jackson是美國FasterXML公司的一款適用于Java的數(shù)據(jù)處理工具。jackson-databind是其中的一個(gè)具有數(shù)據(jù)綁定功能的核心組件之一。

參考鏈接：

https://github.com/FasterXML/jackson-databind/issues/2389

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14439

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

漏洞影響的產(chǎn)品版本包括：

Jackson-databind < 2.9.9.2

Jackson-databind < 2.10.0

Jackson-databind < 2.7.9.6

Jackson-databind < 2.8.11.4

安全版本為：

Jackson-databind >= 2.9.9.2

Jackson-databind >= 2.10.0

Jackson-databind >= 2.7.9.6

Jackson-databind >= 2.8.11.4

四、處置方案

升級至Jackson-databind最新版本，

下載地址：http://central.maven.org/maven2/com/fasterxml/jackson/core/jackson-databind/

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。