写点什么

Fastjson 被曝出“高危”远程代码执行漏洞

  • 2020-06-02
  • 本文字数:784 字

    阅读完需:约 3 分钟

Fastjson被曝出“高危”远程代码执行漏洞


5 月 28 日,360 网络安全响应中心(360-CERT)发布“Fastjson 远程代码执行漏洞通告”。通告称,Java 库 fastjson <= 1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。360 网络安全响应中心评定其为“高危漏洞”,影响面“广泛”。


据悉,该漏洞的影响版本为 fastjson <=1.2.68 和 fastjson sec 版本 <= sec9,而 android 版本不受此漏洞影响。


同一天,腾讯云发布安全通告:


尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。


据悉,Fastjson 是阿里巴巴的开源 JSON 解析库,它能解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean 。


Fastjson 采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化 Gadgets 类时,在 autoType 关闭的情况下仍然可以绕过黑白名单防御机制,造成远程命令执行漏洞。经过研究,该漏洞利用门槛较低,可绕过 autoType 限制,风险影响较大。


在《反序列化漏洞:使用了编译型语言,为什么还是会被注入?》中,安全专家何为舟解释道:黑客构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。


修复建议:


  • 升级到 Fastjson 1.2.69/1.2.70 版本,下载地址为 Releases · alibaba/fastjson

  • 或者通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true);safeMode会完全禁用autotype,无视白名单,请注意评估对业务影响)


截至笔者撰文时,官方已经修复高危安全漏洞,并发布了 1.2.69 版本和 1.2.70 版本。


附:


360 网络安全响应中心:Fastjson 远程代码执行漏洞通告



腾讯云“Fastjson <=1.2.68 全版本远程代码执行漏洞通告”



2020-06-02 11:1013802
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 367.2 次阅读, 收获喜欢 1802 次。

关注

评论 1 条评论

发布
用户头像
fastjson老出严重问题啊
2020-06-04 10:48
回复
没有更多了
发现更多内容

Kubernetes 下部署 JMeter 集群

zuozewei

Jmeter 性能测试 1月月更

StreamNative 联合传智教育推出免费 Apache Pulsar 中文视频教程

Apache Pulsar

大数据 开源 架构 云原生 Apache Pulsar

安全研究人员发现:Nanocore等多个远控木马滥用公有云服务传播

H

网络安全

使用hydra对端口进行爆破

喀拉峻

明道云助力东航食品营销数据整合

明道云

macOS下 Hive 2.x 的安装与配置

JavaEdge

1月月更

网络安全kali渗透学习 web渗透入门 ARL资产侦察灯塔系统搭建及使用

学神来啦

精彩回顾!| Google DevFest 2021 广州国际嘉年华

江湖老铁

12月云短信报告出炉,阿里云闯进前三

博睿数据

i人事CTO王景飞:i人事+计算巢,协同赋能HR业务

阿里云弹性计算

阿里云 计算巢

架构实战营-毕业设计

Beyond Ryan

喜报!东方证券携手博睿数据荣获《金融电子化》2021科技赋能金融业务突出贡献奖

博睿数据

【网络研讨会】“专家面对面”-MongoDB模式设计

MongoDB中文社区

mongodb

消息队列 RocketMQ 遇上可观测:业务核心链路可视化

阿里巴巴云原生

阿里云 RocketMQ 云原生 消息队列 可观测

架构实战营-毕业设计

Beyond Ryan

JDK动态代理

Java

架构实战营:模块六作业

Geek_93ffb0

「架构实战营」

Nacos电子书 读后感(一)

努力努力再努力

1月日更

21 Prometheus之OpenStack的监控简述

穿过生命散发芬芳

Prometheus 1月月更

低代码实现探索(二十八)目录模块文件组织方式

零道云-混合式低代码平台

征文投稿丨使用轻量应用服务器部署Hadoop云集群

阿里云弹性计算

hadoop 轻量应用 征文投稿

用11本白皮书搭建3座桥:联想企业科技集团让智能化转型不再有孤岛

脑极体

Flink 实践教程-进阶(7):基础运维

腾讯云大数据

flink 实战 流计算 Oceanus

MySQL最全基础大整理(建议收藏)1️⃣

XiaoLin_Java

1月日更

最好用的 7 款 Vue 3 富文本编辑器

蒋川

Vue 3 富文本编辑器

云信小课堂|如何实现音视频安全检测?

网易云信

安全 音视频

markdown-it 插件如何写(二)

冴羽

前端 markdown vuepress markdown-it markdown-it插件

哲元科技×飞桨EasyDL|助力世界500强企业打造“灯塔工厂”,探索智能制造星辰大海

百度大脑

流计算 Oceanus | Flink JVM 内存超限的分析方法总结

腾讯云大数据

flink 实战 流计算 Oceanus

navie ui/antDesign vue 的按需自动引入

Mr.Cactus

Vite2 vue3.2 antDesign vue naive ui

Go 语言快速入门指南:Go 测试

宇宙之一粟

Go 测试 Go 语言 1月月更

Fastjson被曝出“高危”远程代码执行漏洞_安全_万佳_InfoQ精选文章