【安全通报】Fastjson 远程代码执行漏洞
近日,白帽汇安全研究院监测到,Fastjson < 1.2.69 版本存在远程代码执行漏洞,可直接获取到服务器权限。该漏洞利用门槛低,风险影响范围较大,强烈建议使用了 Fastjson 的用户近期持续关注 Fastjson 官方公告。漏洞成因是Fastjson autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。漏洞实际造成的危害与 gadgets 有关,gadgets 中使用的类必须不在黑名单中,本漏洞无法绕过黑名单的限制。
Fastjson 是一个Java 语言编写的高性能功能完善的 JSON 库。 它采用一种“假定有序快速匹配”的算法,把 JSON Parse 的性能提升到极致,是目前 Java 语言中最快的 JSON 库。 Fastjson 接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web 输出、Android 客户端等多种应用场景。
影响范围
Fastjson < 1.2.69
修复
截止公告发布,官方暂未发布新版本,您可以采取下述缓解方案进行解决:
- 关注官方更新公告,待官方更新后,升级版本到 1.2.69 版本,官方链接:https://github.com/alibaba/fastjson/releases
- 升级到 Fastjson 1.2.68 版本,通过配置以下参数开启 SafeMode 来防护攻击:
ParserConfig.getGlobalInstance().setSafeMode(true);
( safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响) - 推荐采用 Jackson-databind 或者 Gson 等组件进行替换。 建议您在安装补丁前做好数据备份工作,避免出现意外
参考
[1] https://weixin.shuziguanxing.com/selectDetailsTempateId/462#
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
最新评论