Fastjson 反序列化高危漏洞安全通告

2022年5月24日01:57:54评论62 views字数 1097阅读3分39秒阅读模式

漏洞描述

Fastjson1.2.80 and earlier versions use black and white lists to defend againstdeserialization vulnerabilities. After research, this defense strategy canbypass the default autoType shutdown restrictions under certain conditions andattack remote servers, which has a greater risk and impact.官方安全通告(参考1)

2022年05月23日，国舜股份安全团队监测到Fastjson爆发新的反序列化远程代码执行漏洞，漏洞编号暂无。

Fastjson官方发布安全公告称，Fastjson 1.2.80和之前版本使用黑白名单来防御反序列化漏洞，经研究，这种防御策略使得远程攻击者可以在特定条件下绕过默认autoType关闭限制，从而反序列化有安全风险的类攻击目标服务器。

漏洞评级

漏洞等级：高危

漏洞评分：8.5

影响版本

Fastjson 反序列化高危漏洞安全通告

排查方法

1. 人工检测

相关用户可使用以下命令检测当前使用的Fastjson版本:

lsof | grep fastjson

注:在Fastjson 1.2.68及之后的版本中，官方添加了SafeMode功能，可完全禁用auto Type。

解决建议

1. 参考漏洞影响范围，目前 Fastjson DevelopTeam 已公布漏洞修复方案，请参考以下修复建议或官方文档进行修复：

https://github.com/alibaba/fastjson/wiki/security_update_20220523

2. 建议升级到最新版本1.2.83：

https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇到问题可以到如下链接寻求帮助：

https://github.com/alibaba/fastjson/issues

3. Fastjson 在1.2.68及之后的版本中引入了safeMode，配置 safeMode 后，无论白名单和黑名单，都不支持 autoType，可杜绝反序列化Gadgets类变种攻击（关闭 autoType 注意评估对业务的影响），可参考查看开启方法：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

原文始发于微信公众号（国舜股份）：Fastjson 反序列化高危漏洞安全通告

左青龙
微信扫一扫

右白虎
微信扫一扫

Fastjson 反序列化高危漏洞安全通告

【漏洞预警】Progress Flowmon命令注入漏洞（CVE-2024-2389）

某捷通T KeyInfoList.aspx sql注入-附py

泰博云平台solr接口存在SSRF漏洞|漏洞预警

CVE-2024-20767

管家婆订货易在线商城 VshopProcess 任意文件上传漏洞复现【哥斯拉蚁剑齐上阵】

『漏洞复现』不安全的 Python Pickles

D-Link NAS CVE-2024-3273 Exploit Tool

OpenMetadata condition接口处RCE漏洞-CVE-2024-28255

发表评论

在线咨询

微信