1. 通知信息内容

2021年1月07日，安识高新科技A-Team精英团队检测到jackson-databind官方发布安全性通知，通告了 jackson-databind的好几个反序列化漏洞。FasterXML Jackson是英国FasterXML企业的一款适用Java的数据处理方法专用工具。jackson-databind是在其中的一个具备数据信息关联作用的关键部件之一。攻击者利用漏洞可完成远程控制代码执行。安识高新科技提议众多客户将FasterXML jackson-databind升級到安全性版本号，以防遭到漏洞进攻。

2. 漏洞简述

CVE-2020-36179：

此漏洞是因为

oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS组件库存有不安全的反序列化，造成 攻击者能够利用漏洞完成远程控制代码执行。

CVE-2020-36180：

此漏洞是因为org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存有不安全的反序列化，造成 攻击者能够利用漏洞完成远程控制代码执行。

CVE-2020-36181：

此漏洞是因为org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS组件库存有不安全的反序列化，造成 攻击者能够利用漏洞完成远程控制代码执行。

CVE-2020-36182：

此漏洞是因为org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存有不安全的反序列化，造成 攻击者能够利用漏洞完成远程控制代码执行。

CVE-2020-36183：

此漏洞是因为

org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存有不安全的反序列化，造成 攻击者能够利用漏洞完成远程控制代码执行。

CVE-2020-36184：

此漏洞是因为org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource组件库存有不安全的反序列化，造成 攻击者能够利用漏洞完成远程控制代码执行。

CVE-2020-36185：

此漏洞是因为org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource组件库存有不安全的反序列化，造成 攻击者能够利用漏洞完成远程控制代码执行。

CVE-2020-36186：

此漏洞是因为org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource组件库存有不安全的反序列化，造成 攻击者能够利用漏洞完成远程控制代码执行。

CVE-2020-36187：

此漏洞是因为org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource组件库存有不安全的反序列化，造成 攻击者能够利用漏洞完成远程控制代码执行。

CVE-2020-36188：

此漏洞是因为com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource组件库存有不安全的反序列化，造成 攻击者能够利用漏洞完成远程控制代码执行。

CVE-2020-36189：

此漏洞是因为com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource组件库存有不安全的反序列化，造成 攻击者能够利用漏洞完成远程控制代码执行。

3. 漏洞伤害

攻击者利用这种高风险漏洞，能够完成远程控制代码执行，存有巨大的安全风险。

4. 危害版本号

漏洞危害的版本号包含：

FasterXML jackson-databind 2.x < 2.9.10.8

5. 解决方法

安识高新科技提议众多客户尽早升級FasterXML jackson-databind至安全性版本号。

6. 时间线

【-】2021年1月6日 jackson-databind官方网发布消息

【-】2021年1月7日 安识高新科技A-Team精英团队依据官方网站公示剖析

【-】2021年1月7日 安识高新科技A-Team精英团队公布安全性通知