曝光!Fastjson 反序列化高危漏洞多种修复方案

admin
admin
admin
146004
文章
119
评论
2022年5月24日01:55:31评论269 views字数 765阅读2分33秒阅读模式
曝光!Fastjson 反序列化高危漏洞多种修复方案

01 漏洞概况 


近日,微步情报局捕获 Fastjson1.2.80 反序列化漏洞情报,攻击者可以利用该漏洞攻击远程服务器, 可能会造成任意命令执行。Fastjson 是一个 Java 库,可用于将 Java 对象转换为其 JSON字符串表示形式, 还可用于将 JSON 字符串转换为等效的 Java 对象。
漏洞复现:
曝光!Fastjson 反序列化高危漏洞多种修复方案

此次受影响版本如下:

Fastjson
是否受影响

≤1.2.80

02 漏洞评估 


公开程度:未发现在野利用
利用条件:无权限要求
交互要求:0 Click
漏洞危害:高危、任意命令执行
影响范围:Fastjson ≤1.2.80

03 修复方案


三种修复方案根据业务选择任一合适方案即可:
1.建议升级到最新版本1.2.83:
https://github.com/alibaba/fastjson/releases/tag/1.2.83
2.safeMode加固:
Fastjson 在1.2.68及之后的版本中引入了safeMode,配置 safeMode后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化 Gadgets 类变种攻击(关闭 autoType 注意评估对业务的影响)。
参考链接:
https://github.com/alibaba/fastjson/wiki/security_update_20220523
3.升级至 Fastjson v2:

Fastjson v2地址:

https://github.com/alibaba/fastjson2/releases

04 时间线 


2022.5.23 微步情报局捕获该漏洞相关情报

2022.5.23 微步在线威胁感知平台 TDP 已支持检测

2022.5.23 微步情报局发布漏洞通告

曝光!Fastjson 反序列化高危漏洞多种修复方案

点击下方名片,关注我们

第一时间为您推送最新威胁情报


原文始发于微信公众号(微步在线研究响应中心):曝光!Fastjson 反序列化高危漏洞多种修复方案

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月24日01:55:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   曝光!Fastjson 反序列化高危漏洞多种修复方案http://cn-sec.com/archives/1043749.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息