欢迎访问吉林农业大学信息化中心
网络安全
当前位置: 中心首页 > 网络安全 > 正文

Fastjson 远程代码执行漏洞

发布时间:2020/06/12 10:06    浏览次数:

预警背景描述


2020 年 5 月 28 日,铱迅安全服务团队监测到 Fastjson <=1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务
器权限。


预警描述


Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
Fastjson 在 1.2.68 及以下版本中均存在远程代码执行漏洞,该漏洞可绕过 autoType 开关的限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现远程代码执行。


漏洞危害

攻击者利用该漏洞可实现远程代码执行,获取服务器权限。 受影响范围 Fastjson  <=  1.2.68


修复建议

1、关注官方的更新公告,待官方发布修复程序后,尽快安装修复。

2、由于目前官方暂未发布针对此漏洞的修复版本,受影响用户
 


可升级到 Fastjson 1.2.68 版本,通过禁用 autoType 来规避风险,另建议将 JDK 升级到最新版本。(Fastjson 1.2.68 版本,官方添加了 SafeMode 功能,可完全禁用 autoType,消除本通告的漏洞风险。)

禁用 autoType 的方法如下:
1) 检测当前使用的 Fastjson 版本:lsof | grep fastjson
2) 升级到 Fastjson 1.2.68 版本
3) 开启 SafeMode :
ParserConfig.getGlobalInstance().setSafeMode(true);
注意:safeMode 会完全禁用 autotype,无视白名单,请注意
评估对业务影响。
官方地址:https://github.com/alibaba/fastjson/releases


上一篇:Juniper Networks Junos OS 安全漏洞
下一篇:Apache Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)

帮助热线:0431-84533276

  

去百度地图》


  • 首页
  • 电话
  • 留言