一、概要

近日，華為云關(guān)注到jackson-databind的2.0.0至2.9.10.3版本中存在一個反序列化遠程代碼執(zhí)行漏洞（CVE-2020-8840）。FasterXML Jackson是美國FasterXML公司的一款適用于Java的數(shù)據(jù)處理工具，jackson-databind是其中的一個具有數(shù)據(jù)綁定功能的核心組件之一。由于缺少某些xbean-reflect/JNDI黑名單類，如org.apache.xbean.propertyeditor.JndiConverter，可導致攻擊者使用JNDI注入的方式實現(xiàn)遠程代碼執(zhí)行。

華為云提醒使用jackson-databind的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://github.com/FasterXML/jackson-databind/issues/2620#

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急） 

三、漏洞影響范圍

影響版本：

2.0.0 <= FasterXML jackson-databind Version <= 2.9.10.2 

安全版本:

jackson-databind 2.8系列 >= 2.8.11.5

jackson-databind 2.9系列 >= 2.9.10.3

jackson-databind 2.10系列

四、漏洞排查&處置

漏洞排查（滿足以下3個條件受漏洞影響）：

a.    Jackson-databind版本在受影響范圍內(nèi)；

b.    打開了enableDefaultTyping()（該配置默認是關(guān)閉的）；

c.    使用了xbean-reflect庫。

漏洞處置：

目前官方已在最新版本中修復了該漏洞，請受影響的用戶升級至安全版本。

下載地址：https://github.com/FasterXML/jackson-databind/releases

注：修復漏洞前請將資料備份，并進行充分測試。