AICon 上海站|90%日程已就绪,解锁Al未来! 了解详情
写点什么

Fastjson 被曝出“高危”远程代码执行漏洞

  • 2020-06-02
  • 本文字数:784 字

    阅读完需:约 3 分钟

Fastjson被曝出“高危”远程代码执行漏洞


5 月 28 日,360 网络安全响应中心(360-CERT)发布“Fastjson 远程代码执行漏洞通告”。通告称,Java 库 fastjson <= 1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。360 网络安全响应中心评定其为“高危漏洞”,影响面“广泛”。


据悉,该漏洞的影响版本为 fastjson <=1.2.68 和 fastjson sec 版本 <= sec9,而 android 版本不受此漏洞影响。


同一天,腾讯云发布安全通告:


尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。


据悉,Fastjson 是阿里巴巴的开源 JSON 解析库,它能解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean 。


Fastjson 采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化 Gadgets 类时,在 autoType 关闭的情况下仍然可以绕过黑白名单防御机制,造成远程命令执行漏洞。经过研究,该漏洞利用门槛较低,可绕过 autoType 限制,风险影响较大。


在《反序列化漏洞:使用了编译型语言,为什么还是会被注入?》中,安全专家何为舟解释道:黑客构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。


修复建议:


  • 升级到 Fastjson 1.2.69/1.2.70 版本,下载地址为 Releases · alibaba/fastjson

  • 或者通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true);safeMode会完全禁用autotype,无视白名单,请注意评估对业务影响)


截至笔者撰文时,官方已经修复高危安全漏洞,并发布了 1.2.69 版本和 1.2.70 版本。


附:


360 网络安全响应中心:Fastjson 远程代码执行漏洞通告



腾讯云“Fastjson <=1.2.68 全版本远程代码执行漏洞通告”



2020-06-02 11:1013828
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 369.4 次阅读, 收获喜欢 1803 次。

关注

评论 1 条评论

发布
用户头像
fastjson老出严重问题啊
2020-06-04 10:48
回复
没有更多了
发现更多内容

【私有云】多云管理平台和私有云是什么关系?能通俗解释一下吗?

行云管家

云计算 私有云 云管平台

信息时代,您需要这样的知识管理工具

小炮

故障定位与用户行为分析双向驱动,互联网保险的IT 运维“双保险”

博睿数据

博睿数据 IT运维

大型物联网平台如何来保障亿级设备安全连接上云?

华为云开发者联盟

物联网 华为云 iotda 大型物联网平台

当运行npm install 命令的时候带上ignore-scripts,会发生什么?

华为云开发者联盟

前段

EMQ&思岚科技:物联网+AI支援抗疫,“无接触”机器人保障上海方舱稳定运转

EMQ映云科技

物联网 IoT mqtt emq 6月月更

【爬虫必备->Scrapy框架】初篇

孤寒者

爬虫 6月月更 scrapy框架

【云主机】2022年云主机管理软件排行榜

行云管家

云主机 云服务器 云管

InfoQ 极客传媒 15 周年庆征文|业务中台与B-PaaS的前世今生

小诚信驿站

架构 如何落地业务建模 领域建模 热门活动 InfoQ极客传媒15周年庆

一篇万字博文带你入坑爬虫这条不归路 【万字图文】

孤寒者

爬虫 6月月更 爬虫必备知识讲解 万字图文 爬虫入坑文

7张图详解域名系统DNS

wljslmz

DNS 域名解析 网络技术 6月月更

安势信息技术市场总监王峰,OpenChain线上研讨会首秀!

安势信息

Linux 开源 DevSecOps SCA SCA工具

程序员自我修炼:《匠艺整洁之道》读书总结

博文视点Broadview

一键部署Java构件到Nexus,同事见了都说好

Jianmu

后端 持续集成 私服 自动化运维 Java构件

NFT+DeFi链游系统开发技术

薇電13242772558

NFT

大容量、高性能,国家级实验室分布式并行文件存储实践

焱融科技

人工智能 大数据 AI 基础设施 存储

最好用的 6 个 React Tree select 树形组件测评与推荐

蒋川

低代码 开发工具 React 组件 树形选择器

四家正规新疆等保测评公司名称、地址详细公布

行云管家

网络安全 等保 新疆 等保测评

如何在 WordPress 中创建联系表格?

海拥(haiyong.site)

WordPress 6月月更

2022年软饮料国潮发展洞察报告

易观分析

饮品市场

【Spring 学习笔记(五)】Spring Bean 作用域和生命周期

倔强的牛角

spring Java EE 6月月更

mass幸运哈希彩竞猜游戏娱乐平台开发技术详解

开发微hkkf5566

常见滑动窗口实现(Java语言实现)

工程师日月

6月月更

软件开发教父 Martin Fowler:幸好我当初没把它扔进垃圾桶

图灵教育

软件开发

小程序IDE,大趋势下催生的效能提速工具

Speedoooo

ide 效率工具 编程效率 移动开发 APP开发

用Golang重写rsync(1):缘起MAC

百家饭隐私计算平台创业者

c golang

Apache DolphinScheduler&TiDB联合Meetup | 聚焦开源生态发展下的应用开发能力

白鲸开源

Apache 大数据 开源 DolphinScheduler workflow

C#入门系列(六) -- 分支语句

陈言必行

C# 6月月更

选择广州软件定制开发的10个理由

低代码小观

软件开发 管理软件 企业管理软件 项目管理软件 软件定制

趣步运动挖矿系统开发模式分析

开发微hkkf5566

【智人智语】剑维软件大中华区油气和智能制造业务部总经理刘晓光:我谨代表剑维软件预祝第六届世界智能大会圆满成功

InfoQ 天津

Fastjson被曝出“高危”远程代码执行漏洞_安全_万佳_InfoQ精选文章