FasterXML jackson-databind远程代码执行漏洞预警

产品目录

计算

云上网络

接入网

混合组网

存储

网络加速

云分发

云分发 UCDN

视频服务

云直播 ULive

边缘计算

边缘计算虚拟机 UEC-VM

数据库

大数据与中间件

数据仓库

安全防护

安全合规

监控与运维

多云与迁移

数据传输服务 UDTS

混合云

私有云

云通信

企业应用

通用人工智能

解决方案

行业类

通用类

文档中心

客户案例

教育

金融

游戏

移动社交

政务企业

新零售

视频直播

医疗健康

AI+IoT

更多案例

关于我们

公司介绍

新闻资讯

最新资讯

U刻博客

开源工作

服务

开发者资源

安全中心

数据保障（GDPR）

技术支持

运维服务

等保合规服务

备案服务

公告

安全公告 UCloud-201907-002:FasterXML jackson-databind远程代

UCloud-201907-002:FasterXML jackson-databind远程代

发布时间 2019-07-31
更新时间 2019-07-31
漏洞等级 High
CVE编号 CVE-2019-14361、CVE-2019-14439

漏洞详情

jackson官方公开2个高危漏洞，攻击者可以通过向受影响的Jackson服务器发送精心构造的请求包，导致远程代码执行。

影响范围

FasterXML jackson-databind<2.9.9.2
FasterXML jackson-databind<2.10.0
FasterXML jackson-databind<2.7.9.6
FasterXML jackson-databind<2.8.11.4

修复方案

1、升级FasterXML jackson-databind版本到2.9.9.2,2.10.0,2.7.9.6,2.8.11.4及以上版本
2、不开启Jackson的defaultTyping选项

参考链接

https://github.com/FasterXML/jackson-databind/issues/2389
https://github.com/FasterXML/jackson-databind/issues/2387