写点什么

Fastjson 被曝出“高危”远程代码执行漏洞

  • 2020-06-02
  • 本文字数:784 字

    阅读完需:约 3 分钟

Fastjson被曝出“高危”远程代码执行漏洞


5 月 28 日,360 网络安全响应中心(360-CERT)发布“Fastjson 远程代码执行漏洞通告”。通告称,Java 库 fastjson <= 1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。360 网络安全响应中心评定其为“高危漏洞”,影响面“广泛”。


据悉,该漏洞的影响版本为 fastjson <=1.2.68 和 fastjson sec 版本 <= sec9,而 android 版本不受此漏洞影响。


同一天,腾讯云发布安全通告:


尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。


据悉,Fastjson 是阿里巴巴的开源 JSON 解析库,它能解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean 。


Fastjson 采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化 Gadgets 类时,在 autoType 关闭的情况下仍然可以绕过黑白名单防御机制,造成远程命令执行漏洞。经过研究,该漏洞利用门槛较低,可绕过 autoType 限制,风险影响较大。


在《反序列化漏洞:使用了编译型语言,为什么还是会被注入?》中,安全专家何为舟解释道:黑客构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。


修复建议:


  • 升级到 Fastjson 1.2.69/1.2.70 版本,下载地址为 Releases · alibaba/fastjson

  • 或者通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true);safeMode会完全禁用autotype,无视白名单,请注意评估对业务影响)


截至笔者撰文时,官方已经修复高危安全漏洞,并发布了 1.2.69 版本和 1.2.70 版本。


附:


360 网络安全响应中心:Fastjson 远程代码执行漏洞通告



腾讯云“Fastjson <=1.2.68 全版本远程代码执行漏洞通告”



2020-06-02 11:1013710
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 355.5 次阅读, 收获喜欢 1799 次。

关注

评论 1 条评论

发布
用户头像
fastjson老出严重问题啊
2020-06-04 10:48
回复
没有更多了
发现更多内容

语音厅源码实用功能屏幕的转换

山东布谷科技

软件开发 源码搭建 语音源码 语音厅平台搭建

专场来袭,深度解读阿里云视频云的全智能进化

阿里云视频云

云计算 阿里云 视频云

NFTScan | 06.19~06.25 NFT 市场热点汇总

NFT Research

热点 NFT\ 市场

干掉Navicat?阿里Chat2DB来了!

王磊

Java 数据库

OpenCV开箱即用的功能

互联网工科生

OpenCV C++

Seamless Mobility in Wi-Fi Networks: Exploring the Benefits of Fast Roaming

wallyslilly

IPQ6010 ipq6018 ipq5018 FASTROAMING

Hive执行计划之只有map阶段SQL性能分析和解读

不在线第一只蜗牛

sql 开发语言 开发框架

基于 LRU-K 模型如何实现高效的元数据缓存?

焱融科技

#高性能 #文件存储 #分布式存储

千万级规模微服务稳定性技术揭秘:隔离策略

HelloGeek

微服务 高并发 稳定性 隔离性

在 BI 工具 Tableau 中使用 databend

Databend

精选8道ES高频面试题和答案,后悔没早点看。

王中阳Go

elasticsearch 面试题 go面试题 后端面试题 ES面试题

沈阳等级保护测评机构有哪些?有几家?在哪里?

行云管家

等保 等级保护 等保测评 沈阳

Go 语言中 database/sql 是如何设计的

江湖十年

数据库 后端 Go 语言 数据库操作

C语言实现单链表-增删改查

DS小龙哥

6 月 优质更文活动

为什么很多互联网公司很少做单元测试?

博文视点Broadview

表单设计领域天花板,表单引擎最全设计

codebee

《生死狙击》研发商无端科技使用RDS倚天ARM架构数据库,实现增效降本

阿里云瑶池数据库

RDS 阿里云瑶池数据库

行业分析| 无人机电力巡检的应用

anyRTC开发者

人工智能 音视频 无人机 快对讲 视频监控

Python Joblib库使用学习总结

EquatorCoco

Python

百度召开CVPR首个大模型研讨会,吸引超1000支队伍参与文心大模型国际比赛

新消费日报

对线面试官-Redis(作为缓存的一致性问题)

派大星

Java 面试题

CSS中常见的场景实现

EquatorCoco

CSS 开发语言 css架构

Java又双叒叕“凉”了?

程序员小毕

Java spring 面试 springboot SpringCloud

数据库性能优化必读,AntDB-M数据库的哈希索引设计

亚信AntDB数据库

数据库 AntDB AntDB数据库 企业号 6 月 PK 榜

怎样确保舞台LED显示屏的安全

Dylan

安全性 环境 维护 LED显示屏 户内led显示屏

费报只是小 case!电子影像系统,工作效率up无限

风来兮

管理 技术管理 电子档案 财务 数字化工具

量子程序设计基础 | 量子程序与量子编程

TiAmo

量子计算 量子编程 6 月 优质更文活动

DataLeap的全链路智能监控报警实践(二):概念介绍

字节跳动数据平台

堡垒机的作用以及价格简单说明-行云管家

行云管家

网络安全 堡垒机 IT运维

如何扩展及优化CI/CD流水线?

SEAL安全

CI/CD 优化 扩展

历史首次!阿里云与浙大斩获数据库顶会SIGMOD最佳论文,成果已在PolarDB中落地

阿里云瑶池数据库

阿里云 polarDB 瑶池数据库 SIGMOD

Fastjson被曝出“高危”远程代码执行漏洞_安全_万佳_InfoQ精选文章