【風(fēng)險通告】Fastjson遠程代碼執(zhí)行漏洞
2020-05-28 00:00:00
近日�,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Fastjson存在遠程代碼執(zhí)行漏洞,利用該漏洞可直接獲取服務(wù)器權(quán)限�。
該漏洞利用門檻低,風(fēng)險影響范圍較大�,建議使用了Fastjson的用戶采取緩解措施并持續(xù)關(guān)注Fastjson的官方公告,避免被外部攻擊者入侵造成損失��。
漏洞名稱
Fastjson <=1.2.68全版本遠程代碼執(zhí)行漏洞
風(fēng)險等級
高危
漏洞描述
Fastjson <=1.2.68全版本存在遠程代碼執(zhí)行漏洞����,可直接獲取到服務(wù)器權(quán)限��。漏洞成因是Fastjson autotype開關(guān)的限制可被繞過���,然后鏈式地反序列化某些原本不能被反序列化的有安全風(fēng)險的類。漏洞實際造成的危害與 gadgets 有關(guān)���,gadgets中使用的類必須不在黑名單中���,本漏洞無法繞過黑名單的限制。
影響版本
Fastjson <= 1.2.68
修復(fù)建議
截止公告發(fā)布�����,官方暫未發(fā)布新版本�����,您可以采取下述緩解方案進行解決��。
1)關(guān)注官方更新公告���,待官方更新后����,升級版本到1.2.69版本;
2)升級到Fastjson 1.2.68版本�,通過配置以下參數(shù)開啟SafeMode來防護攻擊:ParserConfig.getGlobalInstance().setSafeMode(true);
(SafeMode 會完全禁用autotype,無視白名單�����,請注意評估對業(yè)務(wù)影響)
3) 推薦采用Jackson-databind或者Gson等組件進行替換�����。
建議您在安裝補丁前做好數(shù)據(jù)備份工作���,避免出現(xiàn)意外。
參考鏈接
1)官方更新通告:https://github.com/alibaba/fastjson/releases
2)類似問題參考:https://github.com/FasterXML/jackson-databind/issues/2620#
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/05/28