发布在即!企业 AIGC 应用程度测评,3 步定制专属评估报告。抢首批测评权益>>> 了解详情
写点什么

Fastjson 被曝出“高危”远程代码执行漏洞

  • 2020-06-02
  • 本文字数:784 字

    阅读完需:约 3 分钟

Fastjson被曝出“高危”远程代码执行漏洞


5 月 28 日,360 网络安全响应中心(360-CERT)发布“Fastjson 远程代码执行漏洞通告”。通告称,Java 库 fastjson <= 1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。360 网络安全响应中心评定其为“高危漏洞”,影响面“广泛”。


据悉,该漏洞的影响版本为 fastjson <=1.2.68 和 fastjson sec 版本 <= sec9,而 android 版本不受此漏洞影响。


同一天,腾讯云发布安全通告:


尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。


据悉,Fastjson 是阿里巴巴的开源 JSON 解析库,它能解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean 。


Fastjson 采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化 Gadgets 类时,在 autoType 关闭的情况下仍然可以绕过黑白名单防御机制,造成远程命令执行漏洞。经过研究,该漏洞利用门槛较低,可绕过 autoType 限制,风险影响较大。


在《反序列化漏洞:使用了编译型语言,为什么还是会被注入?》中,安全专家何为舟解释道:黑客构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。


修复建议:


  • 升级到 Fastjson 1.2.69/1.2.70 版本,下载地址为 Releases · alibaba/fastjson

  • 或者通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true);safeMode会完全禁用autotype,无视白名单,请注意评估对业务影响)


截至笔者撰文时,官方已经修复高危安全漏洞,并发布了 1.2.69 版本和 1.2.70 版本。


附:


360 网络安全响应中心:Fastjson 远程代码执行漏洞通告



腾讯云“Fastjson <=1.2.68 全版本远程代码执行漏洞通告”



2020-06-02 11:1013578
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 333.3 次阅读, 收获喜欢 1794 次。

关注

评论 1 条评论

发布
用户头像
fastjson老出严重问题啊
2020-06-04 10:48
回复
没有更多了
发现更多内容

大文件上传功能在标签服务的简单应用和代码实现

袋鼠云数栈

大数据 标签体系 企业号 6 月 PK 榜

如何实现大型企业全面预算管理?

用友BIP

全面预算 财务共享

热点参数限流功能的实现与流量效果控制

互联网架构师小马

科兴未来|第二届集成电路“太湖之芯”创业大赛,报名正式开始

科兴未来News

VSCode批量迁移插件

代码的路

Downie 4 for Mac(最好用的视频下载软件)

背包客

macos Mac软件 mac软件下载 Downie 4 Mac版 Downie4

众多国央企专家齐聚一堂,探索财务共享未来模式

用友BIP

财务共享

科兴未来|第七届“红船杯”嘉兴全球创业创新大赛开启报名

科兴未来News

数字经济 新能源 生物医药 新材料 高端装备

集群限流功能是如何实现的?

互联网架构师小马

Java sentinel 集群限流

内网IM即时通讯软件WorkPlus,快速连接工作的沟通利器

WorkPlus

集群限流的两种模式

互联网架构师小马

Java 集群限流

与 NGINX 团队直接交流 | 微服务之月火热报名中

NGINX开源社区

nginx 微服务 运维

业务与应用同步发展:应用现代化的策略建议

NGINX开源社区

开源赋能 工业铸魂|2023开放原子全球开源峰会开源工业软件分论坛圆满举行

开放原子开源基金会

开源 开放原子全球开源峰会 开源工业软件

AI+低代码:开发革命的崭新纪元!带你一文速通了解

加入高科技仿生人

AI 低代码 数智转型

大型企业高质量发展第一步,构建全面预算管理体系!

用友BIP

全面预算 财务共享

浅析数智化转型深层次的挑战

用友BIP

数智平台

openEuler 开源汇智赢未来|2023开放原子全球开源峰会OpenAtom openEuler 论坛成功召开

开放原子开源基金会

开源 openEuler 开放原子全球开源峰会 开放原子

软件测试|超好用超简单的Python GUI库——tkinter

霍格沃兹测试开发学社

python 3.5+ GUI

局域网办公的重要性,如何选择企业IM即时通讯APP?

WorkPlus

数智人力帮您搭建人才梯队,从此挖掘人才不再靠缘分!

用友BIP

数智人力

为开发者打造的开源低代码开发平台

力软低代码开发平台

Wallys /MediaTek MT7915 DR7915/Wi-Fi 6 Wave 1+ chipset/support openwrt

Cindy-wallys

MT7915

大型企业在财务共享和财务数智化转型上,如何对标世界一流

用友BIP

财务共享

假如你是CEO,遇到人才瓶颈又该如何破局?数智人力给您答案!

用友BIP

人力资源 数智人力

软件测试/测试开发丨学习笔记之Python函数

测试人

Python 程序员 软件测试 自动化测试 函数

积聚产业发展新动能|2023开放原子全球开源峰会OpenAtom OpenHarmony分论坛成功举办

开放原子开源基金会

开源 OpenHarmony 开放原子全球开源峰会 开放原子

【游戏行业部】重回游戏公平,向游戏打金工作室宣战!

网易智企

游戏 反外挂 游戏安全

Sentinel支持异步调用链的实现原理

互联网架构师小马

Java sentinel

数智人力带您揭秘:项目型组织降低人力成本背后的秘诀

用友BIP

数智人力

财务共享数字化转型是财务管理的未来

用友BIP

财务共享

Fastjson被曝出“高危”远程代码执行漏洞_安全_万佳_InfoQ精选文章