写点什么

Fastjson 被曝出“高危”远程代码执行漏洞

  • 2020-06-02
  • 本文字数:784 字

    阅读完需:约 3 分钟

Fastjson被曝出“高危”远程代码执行漏洞


5 月 28 日,360 网络安全响应中心(360-CERT)发布“Fastjson 远程代码执行漏洞通告”。通告称,Java 库 fastjson <= 1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。360 网络安全响应中心评定其为“高危漏洞”,影响面“广泛”。


据悉,该漏洞的影响版本为 fastjson <=1.2.68 和 fastjson sec 版本 <= sec9,而 android 版本不受此漏洞影响。


同一天,腾讯云发布安全通告:


尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。


据悉,Fastjson 是阿里巴巴的开源 JSON 解析库,它能解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean 。


Fastjson 采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化 Gadgets 类时,在 autoType 关闭的情况下仍然可以绕过黑白名单防御机制,造成远程命令执行漏洞。经过研究,该漏洞利用门槛较低,可绕过 autoType 限制,风险影响较大。


在《反序列化漏洞:使用了编译型语言,为什么还是会被注入?》中,安全专家何为舟解释道:黑客构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。


修复建议:


  • 升级到 Fastjson 1.2.69/1.2.70 版本,下载地址为 Releases · alibaba/fastjson

  • 或者通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true);safeMode会完全禁用autotype,无视白名单,请注意评估对业务影响)


截至笔者撰文时,官方已经修复高危安全漏洞,并发布了 1.2.69 版本和 1.2.70 版本。


附:


360 网络安全响应中心:Fastjson 远程代码执行漏洞通告



腾讯云“Fastjson <=1.2.68 全版本远程代码执行漏洞通告”



2020-06-02 11:1013697
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 353.6 次阅读, 收获喜欢 1799 次。

关注

评论 1 条评论

发布
用户头像
fastjson老出严重问题啊
2020-06-04 10:48
回复
没有更多了
发现更多内容

38个LomBok工具注解:LomBok架构分析与注解使用案例(必须收藏)

肖哥弹架构

Java lombok

写在 Pencils Protocol TGE 前:加密市场共识才是王道,拥抱社区

BlockChain先知

写在 Pencils Protocol TGE 前:看好 $DAPP,加密社区共识是王道

大瞿科技

创业者必读!选择拍卖源码还是自建开发,哪种方案更安全?

软件开发-梦幻运营部

VMware Workstation 17.6 Pro macOS Unlocker & OEM BIOS 2.7 for Windows

sysin

macos vmware OEM unlocker Workstation

零基础学习地平线 征程6 QAT 量化感知训练

地平线开发者

自动驾驶 算法 QAT

使用Podman Desktop在Fedora Linux上管理容器

百度搜索:蓝易云

OmniGraffle Pro for mac(思维导图/流程图软件)v7.23.1正式注册版

Rose

Understand for Mac(优秀的源代码审查工具)

Rose

UnlockGo(安卓版)For mac 手机解锁工具

Rose

写在 Pencils Protocol TGE 前:看好 $DAPP,加密社区共识是王道

加密眼界

将Docker命令转化Docker Compose文件

百度搜索:蓝易云

Sketch for mac(专业矢量绘图设计软件)v100.3中文破解版

Rose

Cinema 4D 2024 For mac/win 中文破解版 C4D 2024下载安装教程

Rose

Blu-ray Player Pro for Mac(蓝光高清播放工具)v3.3.22中文版

Rose

VMware Workstation 17.6 Pro macOS Unlocker & OEM BIOS 2.7 for Linux - 在 Linux 上运行 macOS Sequoia

sysin

macos vmware OEM unlocker Workstation

6个 Spring messaging注解:整体架构分析与注解应用案例(必须收藏)

肖哥弹架构

Java spring spring messaging

aspose.words与文件格式转换实现

程序员架构进阶

word java-API 9月日更 9月月更 aspose.words

IDA Professional 9.0打开显示30016错误解决方法

Rose

如何在RHEL8上安装MiniKube

百度搜索:蓝易云

macos big sur 软件icons图标大全(新增至2719枚大苏尔风格图标)

Rose

Nexpose 6.6.267 发布下载,新增功能概览

sysin

漏洞扫描 Nexpose

Magnet AXIOM 8.0 Windows x64 Multilingual - 数字取证与分析

sysin

数字取证 magenet AXIOM

征程 6E/M 快速上手实战 Sample-PYM

地平线开发者

自动驾驶 算法

使用Terraform来管理OpenStack集群

百度搜索:蓝易云

探索 RAD:5 个最佳实践案例解析

NocoBase

低代码 实践案例 无代码 RAD 快速应用开发

站在 AI 与 Web3 的交汇路口,EraAI 如何带领投资者进入智能化决策时代?

股市老人

写在 Pencils Protocol TGE 前:看好 $DAPP,加密社区共识是王道

石头财经

如何用Kubeadm在Debian11上安装Kubernetes集群

百度搜索:蓝易云

Maplesoft Maple 2024 for mac v2024.0 专业的数学计算软件

Rose

Fastjson被曝出“高危”远程代码执行漏洞_安全_万佳_InfoQ精选文章