【安全通报】Fastjson发布高危漏洞补丁
近日,Fastjson官方发布了1.2.67版本,修复了之前旧版本存在的autoType黑名单类绕过漏洞,可导致远程攻击者进行RCE攻击。在不久之前,同类产品Fasterxml jackson-databind就曝出过多个黑名单类绕过漏洞,由于在打开AutoType的场景下使用了相同的防御机制(黑名单类),Fastjson也不可避免地受到影响。
Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。 ——ctolib
危害等级
高危
漏洞原理
在Fastjson打开AutoType的场景下(默认情况下不会打开,是基于白名单的防御机制),存在黑名单类被绕过的漏洞,从而使攻击者有可能发起反序列化攻击,实现远程代码执行。
在1.2.66版本中:
在最新的1.2.67版本中:
漏洞影响
fastjson =< 1.2.66
CVE编号
暂无
修复建议
目前官方已发表修复补丁,可进入
https://github.com/alibaba/fastjson/releases
页面下载最新版本。
参考
[1] https://mp.weixin.qq.com/s/tmycVNWUXsPc7S-wkT5TrA
[2] http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202003-1151
[3] https://www.ctolib.com/docs-FastJson-c-index.html
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
最新评论