【風(fēng)險(xiǎn)通告】Fastjson遠(yuǎn)程代碼執(zhí)行
2019-07-11 00:00:00
近日����,金山云安全應(yīng)急響應(yīng)中心收到高危漏洞預(yù)警,F(xiàn)astjson 1.2.48 版本以下存在遠(yuǎn)程代碼執(zhí)行漏洞����,金山云安全應(yīng)急響應(yīng)中心提醒受該漏洞影響的用戶盡快修復(fù)漏洞,避免被利用攻擊�。
漏洞名稱:
Fastjson遠(yuǎn)程代碼執(zhí)行
漏洞危害等級(jí):
高危
漏洞描述:
Fastjson是阿里巴巴的開(kāi)源JSON解析庫(kù),它可以解析JSON格式的字符串�����,支持將Java Bean序列化為JSON字符串��,也可以從JSON字符串反序列化到JavaBean。
經(jīng)外界安全研究人員發(fā)現(xiàn)�����,F(xiàn)astjson多處補(bǔ)丁修補(bǔ)出現(xiàn)紕漏��,F(xiàn)astjson在1.2.48版本以下�����,無(wú)需Autotype開(kāi)啟�,攻擊者即可通過(guò)精心構(gòu)造的請(qǐng)求包在使用Fastjson的服務(wù)器上進(jìn)行遠(yuǎn)程代碼執(zhí)行。
影響版本:
Fastjson 1.2.48以下版本
修復(fù)方案:
1. 升級(jí)Fastjosn到1.2.58版本��,并關(guān)閉Autotype�����;
2. WAF攔截Json請(qǐng)求中的多種編碼形式的‘@type’���,‘\u0040type’等字樣���;
3. 建議盡可能使用Jackson或者Gson;
4. 升級(jí)JDK版本到8u121�,7u13���,6u141以上。
參考鏈接:
https://github.com/alibaba/fastjson
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2019/07/11