Fastjson 反序列化高危漏洞安全通告

admin 2022年5月24日01:57:54安全漏洞评论27 views1097字阅读3分39秒阅读模式

Fastjson 反序列化高危漏洞安全通告


漏洞描述


  Fastjson1.2.80 and earlier versions use black and white lists to defend againstdeserialization vulnerabilities. After research, this defense strategy canbypass the default autoType shutdown restrictions under certain conditions andattack remote servers, which has a greater risk and impact.官方安全通告(参考1)

    2022年05月23日,国舜股份安全团队监测到Fastjson爆发新的反序列化远程代码执行漏洞,漏洞编号暂无。

    Fastjson官方发布安全公告称,Fastjson 1.2.80和之前版本使用黑白名单来防御反序列化漏洞,经研究,这种防御策略使得远程攻击者可以在特定条件下绕过默认autoType关闭限制,从而反序列化有安全风险的类攻击目标服务器。



漏洞评级


漏洞等级:高危
漏洞评分:8.5


影响版本


Fastjson 反序列化高危漏洞安全通告


排查方法


1.  人工检测
相关用户可使用以下命令检测当前使用的Fastjson版本:
lsof  | grep fastjson
注:在Fastjson 1.2.68及之后的版本中,官方添加了SafeMode功能,可完全禁用auto Type。


解决建议


1.  参考漏洞影响范围,目前 Fastjson DevelopTeam 已公布漏洞修复方案,请参考以下修复建议或官方文档进行修复:
https://github.com/alibaba/fastjson/wiki/security_update_20220523

2.  建议升级到最新版本1.2.83:
https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到如下链接寻求帮助:
https://github.com/alibaba/fastjson/issues

3.  Fastjson 在1.2.68及之后的版本中引入了safeMode,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击(关闭 autoType 注意评估对业务的影响),可参考查看开启方法:
https://github.com/alibaba/fastjson/wiki/fastjson_safemode

Fastjson 反序列化高危漏洞安全通告

原文始发于微信公众号(国舜股份):Fastjson 反序列化高危漏洞安全通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月24日01:57:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Fastjson 反序列化高危漏洞安全通告 http://cn-sec.com/archives/1044046.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: