查看原文
其他

Fastjson 又出高危漏洞,可远程执行代码!

Java技术栈 2021-01-12

Java技术栈

www.javastack.cn

打开网站看更多优质文章


0x01 漏洞背景

2020年05月28日, 360CERT监测发现业内安全厂商发布了 Fastjson 远程代码执行漏洞的风险通告,漏洞等级:高危

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化攻击者精心构造反序列化利用链,最终达成远程命令执行的后果。

此漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

截止到漏洞通告发布,官方还未发布1.2.69版本,360CERT建议广大用户及时关注官方更新通告,做好资产自查,同时根据临时修复建议进行安全加固,以免遭受黑客攻击。

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式  等级

威胁等级 【高危

影响面  【广泛

0x03 影响版本

Fastjson:<= 1.2.68

0x04 修复建议

临时修补建议:升级到Fastjson 1.2.68版本,通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true);

safeMode会完全禁用autotype,无视白名单,请注意评估对业务影响

0x05 时间线

  • 2020-05-28 360CERT监测到业内安全厂商发布漏洞通告

  • 2020-05-28 360CERT发布预警

0x06 参考链接

【安全通告】Fastjson <=1.2.68全版本远程代码执行漏洞通告:

https://cloud.tencent.com/announce/detail/1112

版权声明:本文经安全客授权发布,转载请联系安全客平台

链接:www.anquanke.com/post/id/207029


最近热文:

1、Java 14 祭出神器,Lombok 被干掉了?

2、一周面试了 30 人,面到我心态爆炸…
3、用 float 存储金额,老板说损失从工资扣!
4、阿里发布《Java开发手册(泰山版)》
5、推荐一款 IDEA 代码神器,再也不加班了!
6、Spring Boot Banner 换成了美女背景后…
7、Spring Boot 2.3 优雅关闭新姿势,真香!
8、Redis 到底是单线程还是多线程?
9、程序员面试 10 大潜规则,千万不要踩坑!
10、Struts2 为什么被淘汰?自己作死!
扫码关注Java技术栈公众号阅读更多干货。

点击「阅读原文」带你飞~

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存