![Fastjson 反序列化高危漏洞安全通告]( "Fastjson 反序列化高危漏洞安全通告")
Fastjson1.2.80 and earlier versions use black and white lists to defend againstdeserialization vulnerabilities. After research, this defense strategy canbypass the default autoType shutdown restrictions under certain conditions andattack remote servers, which has a greater risk and impact.官方安全通告(参考1)
2022年05月23日,国舜股份安全团队监测到Fastjson爆发新的反序列化远程代码执行漏洞,漏洞编号暂无。
Fastjson官方发布安全公告称,Fastjson 1.2.80和之前版本使用黑白名单来防御反序列化漏洞,经研究,这种防御策略使得远程攻击者可以在特定条件下绕过默认autoType关闭限制,从而反序列化有安全风险的类攻击目标服务器。
![Fastjson 反序列化高危漏洞安全通告]( "Fastjson 反序列化高危漏洞安全通告")
相关用户可使用以下命令检测当前使用的Fastjson版本:
注:在Fastjson 1.2.68及之后的版本中,官方添加了SafeMode功能,可完全禁用auto Type。
1. 参考漏洞影响范围,目前 Fastjson DevelopTeam 已公布漏洞修复方案,请参考以下修复建议或官方文档进行修复:
https://github.com/alibaba/fastjson/wiki/security_update_20220523
https://github.com/alibaba/fastjson/releases/tag/1.2.83
该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到如下链接寻求帮助:
https://github.com/alibaba/fastjson/issues
3. Fastjson 在1.2.68及之后的版本中引入了safeMode,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击(关闭 autoType 注意评估对业务的影响),可参考查看开启方法:
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
原文始发于微信公众号(国舜股份):Fastjson 反序列化高危漏洞安全通告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1044046.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论