fastjson safemode_它又又又来了,Fastjson 最新高危漏洞来袭!
來源 |?https://www.anquanke.com/post/id/207029
0x01 漏洞背景
2020年05月28日, 360CERT監(jiān)測發(fā)現(xiàn)業(yè)內(nèi)安全廠商發(fā)布了Fastjson遠(yuǎn)程代碼執(zhí)行漏洞的風(fēng)險(xiǎn)通告,漏洞等級:高危
Fastjson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將Java Bean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean。
Fastjson存在遠(yuǎn)程代碼執(zhí)行漏洞,autotype開關(guān)的限制可以被繞過,鏈?zhǔn)降姆葱蛄谢?**者精心構(gòu)造反序列化利用鏈,最終達(dá)成遠(yuǎn)程命令執(zhí)行的后果。此漏洞本身無法繞過Fastjson的黑名單限制,需要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用。
截止到漏洞通告發(fā)布,官方還未發(fā)布1.2.69版本,360CERT建議廣大用戶及時(shí)關(guān)注官方更新通告,做好資產(chǎn)自查,同時(shí)根據(jù)臨時(shí)修復(fù)建議進(jìn)行安全加固,以免遭受******。
0x02 風(fēng)險(xiǎn)等級
360CERT對該漏洞的評定結(jié)果如下
評定方式 ?等級
威脅等級 【高危】
影響面 ?【廣泛】
0x03 影響版本
Fastjson:<= 1.2.68
0x04 修復(fù)建議
臨時(shí)修補(bǔ)建議:升級到Fastjson 1.2.68版本,通過配置以下參數(shù)開啟 SafeMode 來防護(hù)***:ParserConfig.getGlobalInstance().setSafeMode(true);
safeMode會完全禁用autotype,無視白名單,請注意評估對業(yè)務(wù)影響
0x05 時(shí)間線2020-05-28 360CERT監(jiān)測到業(yè)內(nèi)安全廠商發(fā)布漏洞通告
2020-05-28 360CERT發(fā)布預(yù)警
0x06 參考鏈接
【安全通告】Fastjson <=1.2.68全版本遠(yuǎn)程代碼執(zhí)行漏洞通告:https://cloud.tencent.com/announce/detail/1112
總結(jié)
以上是生活随笔為你收集整理的fastjson safemode_它又又又来了,Fastjson 最新高危漏洞来袭!的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: centerandzoom 无效_在bo
- 下一篇: mysql有imp命令吗_快速MySQL