漏洞3: 高危 FasterXML jackson-databind
软件:jackson-databind(jar) 2.6.7.2
命中:["jackson-databind(jar) version less than 2.6.7.3","jackson-databind(jar) version more than equals 2.0.0"]
路径:/home/polarx/polardbx/build/run/polardbx-cdc/polardbx-binlog.standalone/lib/jackson-databind-2.6.7.2.jar
修复建议: 针对使用到jackson-databind组件的web服务器升级jackson相关组件至最新版本:https://github.com/FasterXML/jackson-databind/issues/2334
why168
commented
2 months ago 
wenki-96
漏洞1:高危 fastjson <= 1.2.68 反序列化远程代码执行漏洞 软件:fastjson(jar) 1.2.67 命中:["fastjson(jar) version less than equals 1.2.68","fastjson(jar) extendField.safemode equals false"] 路径:/home/polarx/polardbx/build/run/polardbx-sql/lib/fastjson-1.2.67.jar 修复建议: 注意:较低版本升级至最新版本1.2.69可能会出现兼容性问题,建议升级至特定版本的sec10 bugfix版本 一、升级至安全版本,参考下载链接:https://repo1.maven.org/maven2/com/alibaba/fastjson/ 二、fastjson加固 fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可一定程度上缓解反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)开启方法参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode 三、采用其他json处理组件替换,jackson-databind漏洞也频发,建议使用Gson 四、使用阿里云云防火墙紧急漏洞拦截(可申请免费试用),再升级到安全版本 注意: fastjson漏洞检测规则是通过判定机器运行时的jar包中是否存在漏洞版本的fastjson组件,无法精准确认漏洞有效攻击面,实际是否真实受漏洞影响还需用户根据自身业务判断。
漏洞2:高危 fastjson <= 1.2.80 反序列化任意代码执行漏洞 软件:fastjson(jar) 1.2.67 命中:["fastjson(jar) extendField.safemode equals false","fastjson(jar) version less than equals 1.2.80"] 路径:/home/polarx/polardbx/build/run/polardbx-sql/lib/fastjson-1.2.67.jar 修复建议:1、升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83 。该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。 2、fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。 3、因升级版本可能带来兼容性问题,可使用noneautotype版本,参考:https://github.com/alibaba/fastjson/wiki/security_update_20220523 4、迁移升级使用fastjson v2 ,可参考 https://github.com/alibaba/fastjson2/releases
漏洞3: 高危 FasterXML jackson-databind 软件:jackson-databind(jar) 2.6.7.2 命中:["jackson-databind(jar) version less than 2.6.7.3","jackson-databind(jar) version more than equals 2.0.0"] 路径:/home/polarx/polardbx/build/run/polardbx-cdc/polardbx-binlog.standalone/lib/jackson-databind-2.6.7.2.jar 修复建议: 针对使用到jackson-databind组件的web服务器升级jackson相关组件至最新版本:https://github.com/FasterXML/jackson-databind/issues/2334
漏洞4: 高危 2.x logback/JNDI 反序列化漏洞(CVE-2019-14439) 修复建议:
漏洞5:中危 Spring Framework 特殊匹配模式下身份认证绕过漏洞(CVE-2023-20860) 修复建议:Spring Framework 升级至 5.3.26 及以上版本 或者 6.0.7 及以上版本