來源:安全客
www.anquanke.com/post/id/207029
0x01 漏洞背景
2020年05月28日, 360CERT監測發現業內安全廠商發布了 Fastjson 遠程代碼執行漏洞的風險通告,漏洞等級:高危
Fastjson是阿里巴巴的開源JSON決議庫,它可以決議JSON格式的字串,支持將Java Bean序列化為JSON字串,也可以從JSON字串反序列化到JavaBean,
Fastjson存在遠程代碼執行漏洞,autotype開關的限制可以被繞過,鏈式的反序列化攻擊者精心構造反序列化利用鏈,最終達成遠程命令執行的后果,
此漏洞本身無法繞過Fastjson的黑名單限制,需要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用,
截止到漏洞通告發布,官方還未發布1.2.69版本,360CERT建議廣大用戶及時關注官方更新通告,做好資產自查,同時根據臨時修復建議進行安全加固,以免遭受黑客攻擊,
0x02 風險等級
360CERT對該漏洞的評定結果如下
評定方式 等級
威脅等級 【高危】
影響面 【廣泛】
0x03 影響版本
Fastjson:<= 1.2.68
0x04 修復建議
臨時修補建議:升級到Fastjson 1.2.68版本,通過配置以下引數開啟 SafeMode 來防護攻擊:ParserConfig.getGlobalInstance().setSafeMode(true);
safeMode會完全禁用autotype,無視白名單,請注意評估對業務影響
0x05 時間線
-
2020-05-28 360CERT監測到業內安全廠商發布漏洞通告
-
2020-05-28 360CERT發布預警
0x06 參考鏈接
【安全通告】Fastjson <=1.2.68全版本遠程代碼執行漏洞通告:
https://cloud.tencent.com/announce/detail/1112
著作權宣告:本文經安全客授權發布,轉載請聯系安全客平臺
推薦去我的博客閱讀更多:
1.Java JVM、集合、多執行緒、新特性系列教程
2.Spring MVC、Spring Boot、Spring Cloud 系列教程
3.Maven、Git、Eclipse、Intellij IDEA 系列工具教程
4.Java、后端、架構、阿里巴巴等大廠最新面試題
覺得不錯,別忘了點贊+轉發哦!
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/176243.html
標籤:Java
下一篇:Mybatis 的連接池技術
