首頁 > 安全研究 > 安全通報 > 安全通告

fastjson遠程代碼執行漏洞安全通告

發布時間 2019-09-20

漏洞編號和級別


CVE編號:暫無,危險級別:高危,CVSS分值:官方未評定


影響版本


受影響的版本


fastjson < =1.2.60


漏洞概述


fastjson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將Java Bean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean,由于具有執行效率高的特點,應用范圍廣泛。


9月18日,有安全研究員在阿里官方GitHub上提交了針對fastjson反序列化遠程命令執行漏洞新利用方式的修復代碼(https://github.com/alibaba/fastjson/commit/05a7aa7f748115018747f7676fd2aefdc545d17a),攻擊者可以通過此漏洞遠程執行惡意代碼來入侵服務器。


漏洞驗證


暫無POC/EXP。



修復建議


官方暫未發布修復版本。


緩解措施:


官方暫未發布針對此漏洞的修復版本,受影響用戶需確定當前版本為官方最新版本,且未開啟autoType功能,實現對此漏洞的防護(autoType功能默認關閉)。


autoType關閉方法:

方法一:在項目源碼中全文搜索如下代碼,找到并將此行代碼刪除:

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);  


方法二:在JVM中啟動項目時,不要添加如下參數:

-Dfastjson.parser.autoTypeSupport=true


參考鏈接


https://github.com/alibaba/fastjson/commit/05a7aa7f748115018747f7676fd2aefdc545d17a

上一篇 下一篇