漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞

admin 2022年5月24日01:07:58评论479 views字数 1157阅读3分51秒阅读模式
漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞

近日,Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险,该安全风险可能导致反序列化漏洞。

漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞


漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞

漏洞描述

漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞
Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。

fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。


漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞

漏洞影响

漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞
特定依赖存在下影响Fastjson ≤1.2.80

漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞

修复建议

漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞

参考漏洞影响范围,目前 Fastjson Develop Team 已公布漏洞修复方案,请参考以下修复建议或官方文档进行修复:

https://github.com/alibaba/fastjson/wiki/security_update_20220523

升级到最新版本1.2.83

升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。

safeMode 加固

Fastjson 在1.2.68及之后的版本中引入了 safeMode,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击(关闭 autoType 注意评估对业务的影响),可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 查看开启方法。

升级到 Fastjson v2

Fastjson v2地址 :https://github.com/alibaba/fastjson2/releases

Fastjson 已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2 代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。升级遇到问题,可以在 https://github.com/alibaba/fastjson2/issues 寻求帮助。

漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞

参考链接

漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞
 https://github.com/alibaba/fastjson/wiki/security_update_20220523
漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞

END

漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞

• 往期精选

漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞
漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞

windows提权总结

一次SSH爆破攻击haiduc工具的应急响应

记一次艰难的SQL注入(过安全狗)

记一次溯源

漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞

下方点击关注发现更多精彩

原文始发于微信公众号(银河护卫队super):漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月24日01:07:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞预警 | fastjson 1.2.80及以下存在Throwable 反序列化漏洞http://cn-sec.com/archives/1042260.html

发表评论

匿名网友 填写信息