它又又又來了,Fastjson 最新高危漏洞來襲

它又又又來了,Fastjson 最新高危漏洞來襲

 

0x01 漏洞背景

2020年05月28日, 360CERT監測發現業內安全廠商發佈了Fastjson遠程代碼執行漏洞的風險通告,漏洞等級:高危

Fastjson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將Java Bean序列化爲JSON字符串,也可以從JSON字符串反序列化到JavaBean。

Fastjson存在遠程代碼執行漏洞,autotype開關的限制可以被繞過,鏈式的反序列化攻擊者精心構造反序列化利用鏈,最終達成遠程命令執行的後果。此漏洞本身無法繞過Fastjson的黑名單限制,需要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用。

截止到漏洞通告發布,官方還未發佈1.2.69版本,360CERT建議廣大用戶及時關注官方更新通告,做好資產自查,同時根據臨時修復建議進行安全加固,以免遭受黑客攻擊。

0x02 風險等級

360CERT對該漏洞的評定結果如下

評定方式 等級

威脅等級 【高危】

影響面 【廣泛】

0x03 影響版本

Fastjson:<= 1.2.68

0x04 修復建議

臨時修補建議:升級到Fastjson 1.2.68版本,通過配置以下參數開啓 SafeMode 來防護攻擊:
ParserConfig.getGlobalInstance().setSafeMode(true);

safeMode會完全禁用autotype,無視白名單,請注意評估對業務影響

0x05 時間線

  • 2020-05-28 360CERT監測到業內安全廠商發佈漏洞通告
  • 2020-05-28 360CERT發佈預警

0x06 參考鏈接

【安全通告】Fastjson <=1.2.68全版本遠程代碼執行漏洞通告:
https://cloud.tencent.com/announce/detail/1112

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章