【漏洞情报】Fastjson 反序列化漏洞风险通告

admin 2022年5月24日17:04:25安全漏洞评论61 views823字阅读2分44秒阅读模式

0x01  漏洞介绍


Fastjson由阿里巴巴开发的开源JSON解析库,由JAVA语言编写。Fastjson可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。

近日,锋刃科技监测到阿里巴巴发布了fastjson风险通告,漏洞等级:高危;暂无漏洞编号。

【漏洞情报】Fastjson 反序列化漏洞风险通告

漏洞风险描述:

fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。


0x02  漏洞等级


洞等级:高危 | 8.5


0x03  影响版本


特定依赖存在下影响 ≤1.2.80


0x04  漏洞修复方案


1. 升级到最新版本1.2.83,参考:

https://github.com/alibaba/fastjson/releases/tag/1.2.83 。

(该版本涉及autotype行为变更,在某些场景会出现不兼容的情况。)

2. 可升级到fastjson v2 ,可参考:

https://github.com/alibaba/fastjson2/releases。

3. safeMode加固,参考 :

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

(fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响))


0x04  参考链接


https://github.com/alibaba/fastjson/wiki/security_update_20220523

原文始发于微信公众号(锋刃科技):【漏洞情报】Fastjson 反序列化漏洞风险通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月24日17:04:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞情报】Fastjson 反序列化漏洞风险通告 https://cn-sec.com/archives/1043693.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: