漏洞风险提示 | Fastjson 反序列化远程代码执行漏洞

admin 2022年5月24日01:07:16评论66 views字数 938阅读3分7秒阅读模式
        长亭漏洞风险提示       


  Fastjson 反序列化远程代码执行漏洞


Fastjson 是一款开源的高性能 JSON 解析处理库,在国内被广泛使用。5 月 23 日,Fastjson 官方发布安全通告,声明修复了一处新的反序列化漏洞:

https://github.com/alibaba/fastjson/wiki/security_update_20220523


漏洞描述


Fastjson 基于黑白名单对反序列化漏洞进行防御,但在 Fastjson 1.2.80 及之前的版本中,这些防御机制可被绕过。从而使得默认配置下,当应用或系统使用 Fastjson 对由用户可控的 JSON 字符串进行解析时,将可能导致远程代码执行的危害。


影响范围


特定依赖存在下影响 Fastjson ≤1.2.80 版本。


解决方案


用户可参考官方给出的以下方案进行漏洞修复:


1. 升级到最新版本 1.2.83


用户可通过将版本升级到 1.2.83 修复此漏洞。注意该版本涉及autoType行为变更,在某些场景会出现不兼容的情况。


2. safeMode 加固


Fastjson在 1.2.68 及之后的版本中引入了 safeMode,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType,可杜绝像此类反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。因此 1.2.68 及之后版本的用户若无法通过版本升级来修复漏洞,可考虑配置开启 safeMode,具体参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode


从长远角度来看,用户也可考虑替换 Fastjson 为 Gson 等更安全的 JSON 解析库。


产品支持


雷池:目前已默认支持防护。为支持该漏洞的利用检测,请确保配置项【防护策略管理-防护策略详情-攻击检测配置-情报规则-检测Fastjson漏洞】为开启状态。


牧云:可通过更新漏洞检测补丁,对服务器进行持续监测和漏洞识别。


参考资料



  • https://github.com/alibaba/fastjson/wiki/security_update_20220523


漏洞风险提示 | Fastjson 反序列化远程代码执行漏洞

漏洞风险提示 | Fastjson 反序列化远程代码执行漏洞


原文始发于微信公众号(长亭技术沙盒):漏洞风险提示 | Fastjson 反序列化远程代码执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月24日01:07:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞风险提示 | Fastjson 反序列化远程代码执行漏洞https://cn-sec.com/archives/1042276.html

发表评论

匿名网友 填写信息