写点什么

Fastjson 被曝出“高危”远程代码执行漏洞

2020 年 6 月 02 日

Fastjson被曝出“高危”远程代码执行漏洞


5 月 28 日,360 网络安全响应中心(360-CERT)发布“Fastjson 远程代码执行漏洞通告”。通告称,Java 库 fastjson <= 1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。360 网络安全响应中心评定其为“高危漏洞”,影响面“广泛”。


据悉,该漏洞的影响版本为 fastjson <=1.2.68 和 fastjson sec 版本 <= sec9,而 android 版本不受此漏洞影响。


同一天,腾讯云发布安全通告:


尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。


据悉,Fastjson 是阿里巴巴的开源 JSON 解析库,它能解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean 。


Fastjson 采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化 Gadgets 类时,在 autoType 关闭的情况下仍然可以绕过黑白名单防御机制,造成远程命令执行漏洞。经过研究,该漏洞利用门槛较低,可绕过 autoType 限制,风险影响较大。


在《反序列化漏洞:使用了编译型语言,为什么还是会被注入?》中,安全专家何为舟解释道:黑客构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。


修复建议:


  • 升级到 Fastjson 1.2.69/1.2.70 版本,下载地址为 Releases · alibaba/fastjson

  • 或者通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true);safeMode会完全禁用autotype,无视白名单,请注意评估对业务影响)


截至笔者撰文时,官方已经修复高危安全漏洞,并发布了 1.2.69 版本和 1.2.70 版本。


附:


360 网络安全响应中心:Fastjson 远程代码执行漏洞通告



腾讯云“Fastjson <=1.2.68 全版本远程代码执行漏洞通告”



2020 年 6 月 02 日 11:1012206
用户头像
万佳 InfoQ编辑

发布了 467 篇内容, 共 167.9 次阅读, 收获喜欢 993 次。

关注

评论 1 条评论

发布
用户头像
fastjson老出严重问题啊
2020 年 06 月 04 日 10:48
回复
没有更多了
发现更多内容

架構師訓練營第 1 期 - 第 09 周總結

Panda

架構師訓練營第 1 期

架构师3期3班-week1-作业

zbest

作业 week1

Python进阶——如何实现一个装饰器?

Kaito

Python

架构师训练营第五周作业

李日盛

第九周课后练习

高兵

首次排查 OOM 实录

AI乔治

Java 架构 OOM

架构师训练营第 1 期第九周总结

Leo乐

极客大学架构师训练营

JVM垃圾回收及秒杀系统

天天向上

极客大学架构师训练营

微服务手册:分库分表从分析到实践,不再停留只会说分库分表

互联网应用架构

分库分表

架构师训练营第九周总结

_

极客大学架构师训练营 第九周总结

斐波那契查找

ilovealt

算法和数据结构

native关键字作用到底是什么?

秦怀杂货店

Java 源码 源码刨析 native

架构师训练营第五周学习笔记

李日盛

笔记

架构师3期3班-week1-总结

zbest

总结 week1

第五周作业一

lithium

架构师训练营第五周作业

丁乐洪

关于开发排期

张明森

架构师训练营第 1 期 - 第 9 周课后练习

Anyou Liu

极客大学架构师训练营

架构师训练营第 1 期第九周作业

Leo乐

极客大学架构师训练营

架构一期第九周作业

Airs

架构师入门学习感悟五

莫问

一致性HASH算法和相关测试

DL

第五周作业

小兵

Week5 - 技术选型 - 缓存,队列,负载均衡

evildracula

学习 架构

深入理解r2dbc-mysql

程序那些事

响应式编程 R2DBC 程序那些事 响应式数据库 r2dbc-myql

架构作业--第九周

Nick~毓

架構師訓練營 week9 作業

ilake

架構師訓練營 week9 總結

ilake

Java核心基础——动态代理、静态代理

老农小江

java基础 代理模式

架构师训练营第 1 期 - 第 9 周学习总结

Anyou Liu

极客大学架构师训练营

架構師訓練營第 1 期 - 第 09 周作業

Panda

架構師訓練營第 1 期

Fastjson被曝出“高危”远程代码执行漏洞-InfoQ