jackson-databind远程代码执行漏洞分析(CVE-2020-10673)
1.漏洞描述 近日,百度云安全团队跟踪到jackson-databind在github上更新了一个新的反序列化利用类com.caucho.config.types.ResourceRef,issue编号2660,该类绕过了之前jackson-databind维护的黑名单类。如果项目中包含resin-kernel库,并且JDK版本较低的话,请及时升级jackson-databind到安全版本。 2.影响范围 jackson-databind < 2.9.10.4 JDK < 6u201、7u191、8u182、11.0.1(LDAP) 3.漏洞分析 该漏洞本质是java的JNDI注入,我们先来了解下JNDI基础知识。简单来说,JNDI是一组应用程序接口,它为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定位用户、网络、机器、对象和服务等各种资源。比如可以利用JNDI在局域网上定位一台打印机,也可以用JNDI来定位数据库服务或一个远程Java对象。JNDI底层支持RMI远程对象,RMI注册的服务可以通过JNDI接口来访问和调用。JNDI接口在初始化时,可以将RMI U...
