高危!Fastjson反序列化远程代码执行漏洞风险通告,请尽快升级
据国家网络与信息安全信息通报中心监测发现,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。
据统计,此次事件影响Fastjson 1.2.80及之前所有版本。目前, Fastjson最新版本1.2.83已修复该漏洞。 葡萄城提醒广大开发者:请及时排查梳理受影响情况,在确保安全的前提下修复漏洞、消除隐患,提高网络系统安全防护能力,严防网络攻击事件。
文章图片
漏洞描述
5月23日,Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。
Fastjson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。由于具有执行效率高的特点,Fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。
漏洞详情
? 漏洞名称: Fastjson反序列化远程代码执行漏洞
? 漏洞编号: 暂无
? 漏洞类型: 远程任意代码执行
? 组件名称: Fastjson
? 影响版本: Fastjson ≤ 1.2.80
? 漏洞等级: 严重
修复建议
1、升级到最新版本1.2.83,下载地址:https://github.com/alibaba/fa...
由于该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到https://github.com/alibaba/fa...寻求帮助。
2、safeMode加固
Fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击。
3、升级到Fastjson v2,下载地址: https://github.com/alibaba/fa...
Fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。升级遇到问题,可以在https://github.com/alibaba/fa... 寻求帮助。
排查建议
? Maven:排查pom.xml,通过搜索Fastjson确定版本号
? 其他项目通过搜索jar文件确定Fastjson版本号
【高危!Fastjson反序列化远程代码执行漏洞风险通告,请尽快升级】小声补一句,经过测试,我们的Wyn、活字格、SpreadJS 和 GcExcel都并未使用Fastjson JSON库,因此大家无需担心安全问题。
推荐阅读
- 投稿|奥迪“抄袭门”反思:短视频时代,充斥着对文字价值的轻视
- 如何使用JavaScript将二进制字符串转换为可读字符串,反之亦然
- 如何使用JavaScript正确反转字符串
- Nginx 反向代理工作原理简介与配置详解
- win8 32位系统电脑鼠标滚轮点击与滚动无反应怎样办【图】
- 远程桌面时Win7按CTRL+ALT+DELETE没反应咋回事?
- 如何在Windows中使用Jadx反编译APK或DEX文件
- 汽车|锂业板块反弹,天齐锂业领涨 8.48% | 5月23日汽车产业链企业上市公司(部分)股价日报
- #导入MD文档图片#教你解决禁止F12调试Debugger丑化JS等反爬
- 我去!爬虫遇到JS逆向AES加密反爬,哭了