首頁 > 安全研究 > 安全通報 > 安全通告

Fastjson遠程代碼執行漏洞通告

發布時間 2020-05-29

0x00 漏洞概述


CVE   ID

暫無

   

2020-05-29

   

RCE

   

高危

遠程利用

影響范圍

Fastjson <= 1.2.68


0x01 漏洞詳情




Fastjson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將Java Bean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean。

2020年5月28日,Github發布了有關Fastjson <= 1.2.68版本存在遠程代碼執行漏洞的公告,該漏洞可繞過autoType開關的限制,攻擊者精心構造反序列化利用鏈,實現在目標機器上的遠程代碼執行。此漏洞本身無法繞過Fastjson的黑名單限制,需要配合不在黑名單中的反序列化利用鏈才能完成漏洞利用。

Fastjson版本檢測命令:

lsof | grep fastjson


0x02 處置建議


截止到目前,官方還未發布1.2.69版本,建議廣大用戶及時關注官方更新通告,做好資產自查,以免遭受黑客攻擊。

臨時措施:

受影響用戶可通過禁用autoType來規避風險,另外建議將JDK升級到最新版本。

由于autotype開關的限制可被繞過,請受影響用戶升級fastjson至1.2.68版本,通過開啟safeMode配置完全禁用autoType。( 注意:safeMode會完全禁用autotype,無視白名單,請注意評估對業務影響)三種配置SafeMode的方式如下:

? 在代碼中配置:

ParserConfig.getGlobalInstance().setSafeMode(true);

? 加上JVM啟動參數:如果有多個包名前綴,可用逗號隔開。

-Dfastjson.parser.safeMode=true

? 通過fastjson.properties文件配置:通過類路徑的fastjson.properties文件來配置,配置方式如下:

fastjson.parser.safeMode=true


0x03 參考鏈接


https://github.com/alibaba/fastjson/releases

https://github.com/alibaba/fastjson/wiki/fastjson_safemode


0x04 時間線


2020-05-28 Github發布漏洞公告

2020-05-29 VSRC發布漏洞通告




上一篇 下一篇