关于Jar包jackson-databind执行漏洞：CDH集群5.13.3修复 - 代码天地

关于Jar包jackson-databind执行漏洞：CDH集群5.13.3修复

其他 2020-03-11 21:56:33 阅读次数: 0

介绍

【漏洞通告】Jackson-databind远程代码执行漏洞（CVE-2020-8840）通告

	2月19日，NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行
漏洞（CVE-2020-8840），CVSS评分为9.8 。受影响版本的jackson-databind中由于缺少
某些xbean-reflect/JNDI黑名单类，如org.apache.xbean.propertyeditor.JndiConverter，可
导致攻击者使用JNDI注入的方式实现远程代码执行。目前厂商已发布新版本完成漏洞修复，
请相关用户及时升级进行防护。

受影响版本

2.0.0 <= FasterXML jackson-databind <= 2.9.10.2

不受影响版本

FasterXML jackson-databind = 2.8.11.5
FasterXML jackson-databind = 2.9.10.3（暂未发布）

修复流程

1. 找到对应的Jar包：jackson-databind，jackson-core，jackson-annotations并替换新的Jar包即可！
原因：
	由于Jar包jackson-databind同时还依赖了jackson-core和jackson-annotations两个Jar包，所以在替换
的时候这三个一起替换即可，同时还需要注意这三个Jar包是同一个版本。

参考链接：https://nvd.nist.gov/vuln/detail/CVE-2020-8840

好记性不如笔记来的实在！！！

斗罗昊天锤

发布了24 篇原创文章 · 获赞 6 · 访问量 2万+

私信关注

猜你喜欢

转载自blog.csdn.net/XuanAlex/article/details/104749788

关于Jar包jackson-databind执行漏洞：CDH集群5.13.3修复

jackson-databind架包中的ObjectMapper

【漏洞通告】Jackson-databind远程代码执行漏洞（CVE-2020-8840）通告

com.fasterxml.jackson.core：jackson-databind漏洞2.9.10.3版本以前的问题分析

Jackson-databind 反序列化漏洞（CVE-2017-17485）

Jackson-databind 反序列化漏洞（CVE-2017-7525）

【浅度渣文】Jackson之jackson-databind

Java反序列化之Jackson-databind

CVE-2020-8840:Jackson-databind RCE

Spring initializr Error:java: 读取C:\Users\…\.m2\repository\com\fasterxml\jackson\core\jackson-databind\2.9.8\jackson-databind-2.9.8.jar时出错; ZipFile invalid LOC header (bad signature)

CDH升级 5.7.5 --> 5.13.3（tar包方式）

[享学Jackson] 十一、jackson-databind之JsonSerializer序列化器全解析

[享学Jackson] 三、jackson-databind之ObjectMapper与数据绑定、树模型

[享学Jackson] 八、jackson-databind数据绑定基础配置之BaseSettings、MapperConfig、MapperConfigBase

[享学Jackson] 九、jackson-databind数据绑定序列化/反序列化配置之SerializationConfig、DeserializationConfig

关于如何执行jar包

CDH jar包路径

[享学Jackson] 十二、jackson-databind反序列化之ObjectMapper反序列化原理、JsonDeserializer反序列化器全解析

[享学Jackson] 十、jackson-databind序列化之ObjectMapper序列化原理、序列化器匹配原理

【我的Android进阶之旅】修复错误：Use of generics not allowed for java type at 'com.fasterxml.jackson.databind’

CentOS6安装搭建Cloudera Manager 5和CDH5(版本5.13.3)大数据集群

fashjson --jar包漏洞

如何在Github下载jackson的jar包

下载jackson的jar包以及使用

spring关于nested exception is java.lang.NoClassDefFoundError: com/fasterxml/jackson/databind/exc/Inval

Maven项目中引入CDH jar包

idea无法下载cdh依赖jar包

可执行的 JAR 包

执行jar包问题

java执行jar包

今日推荐

面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」

开源日报 | 谷歌扶持鸿蒙上位；开源Rabbit R1；Docker加持的安卓手机；微软的焦虑和野心；海尔电器把开放平台关了

中国码农的“35岁魔咒”

蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版，免费下载

Arc Browser for Windows 1.0 正式 GA

90后程序员开发视频搬运软件、不到一年获利超 700 万，结局很刑！

周排行

OOP第二次作业

java web 乱码问题

android 禁止scrollview 因控件变化自动滚动到底的方法

mysql服务解压版的安装(5.7)

centos7 nginx+tomcat配置https 安装免费SSL Let’s Encrypt

使用Mosquitto遗嘱机制实现感知客户端上下线功能的方法

面向对象之------多态与多态性

开发Teams Tabs应用程序

C# 希尔排序

第2章 Jupyter Notebooks

每日归档

更多

2024-05-06(40)

2024-05-05(0)

2024-05-04(7)

2024-05-03(19)

2024-05-02(0)

2024-05-01(4)

2024-04-30(1)

2024-04-29(40)

2024-04-28(0)

2024-04-27(56)