상세 컨텐츠

본문 제목

CVE-2020-9546,9547,9548 : FasterXML jackson-databind 원격코드실행 주의!

국내외 보안동향

by 알약(Alyac) 2020. 3. 3. 16:42

본문

FasterXML jackson-databind란 JSON과 오브젝트 변환에 사용되는 Java 라이브러리로, Java 오브젝트를 json과 xml형태로 변환하며, 동시에 json 오브젝트를 Java 오브젝트로 변환하기도 합니다. 



취약점 내용


CVE-2020-9546

org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig와 관련된 직렬화 가젯과 입력 간의 상호 작용을 잘못 처리하여 발생합니다. 


CVE-2020-9547

com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig와 관련된 직렬화 가젯과 입력 간의 상호 작용을 잘못 처리하여 발생합니다. 


CVE-2020-9548

br.com.anteros.dbcp.AnterosDBCPConfig와 관련된 직렬화 가젯과 입력 간의 상호 작용을 잘못 처리하여 발생합니다. 



영향받는버전


FasterXML jackson-databind 2.x 버전 중 2.9.10.4 이전 버전



패치 방법


jackson-databind 최신버전으로 업데이트





참고 :

https://nvd.nist.gov/vuln/detail/CVE-2020-9546

https://nvd.nist.gov/vuln/detail/CVE-2020-9547

https://nvd.nist.gov/vuln/detail/CVE-2020-9548

관련글 더보기

댓글 영역