首页 互联前沿 资讯快报 浏览内容

【漏洞预警】Fastjson 远程代码执行漏洞

385 0 BaiDu已收录 评论留言

Fastjson是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开发。

0x01 概述:

2017年3月15日,Fastjson官方发布安全公告,该公告介绍 Fastjson 在 1.2.24 以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务器,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞

0x02 漏洞详情:
漏洞编号:暂无
漏洞名称:Fastjson 远程代码执行漏洞
官方评级:高危
漏洞描述:
Fastjson 在 1.2.24 以及之前版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,Fastjson反序列化存在漏洞,可导致远程任意代码执行漏洞。
漏洞利用条件和方式:黑客可以远程代码执行成功利用该漏洞。
漏洞影响范围:1.2.24 及之前版本
开源应用影响:

Fastjson开源影响

Fastjson开源影响

0x03 PoC:
暂无

0x04 漏洞修复建议:
采用以下两种方式将fastjson升级到1.2.28或者更新版本:

1.Maven依赖配置更新
通过maven配置更新,使用最新版本,如下:

2. 直接下载更新
1.2.28版本下载地址:http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

3.常见问题
(1) 升级遇到不兼容问题怎么办?
1.2.28已经修复了绝大多数兼容问题,但是总会有一些特殊的用法导致不兼容,如果你遇到不兼容问题,通过 https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容问题,链接的后面提供了遇到不兼容问题之后的使用相应的sec01版本解决办法。

(2)升级之后报错autotype is not support
安全升级包禁用了部分autotype的功能,也就是”@type“这种指定类型的功能会被限制在一定范围内使用。如果你使用场景中包括了这个功能,https://github.com/alibaba/fastjson/wiki/enable_autotype 这里有一个介绍如何添加白名单或者打开autotype功能。

(3)通过配置打开autotype之后是否存在安全漏洞
在1.2.28以及所有的.sec01版本中,有多重保护,但打开autotype之后仍会存在风险,不建议打开,而是使用一个较小范围的白名单。

(4)Android环境使用是否需要升级
目前未发现漏洞对Android系统产生影响,在Android环境中使用不用升级。
(5)升级遇到问题希望提供支持怎么办?

作者愿意帮助大家一起解决问题,如果遇到文档中没说明到的问题,请通过如下方式联系作者:
钉钉号:wenshaojin2017
微信号:wenshaojin
微博:http://weibo.com/wengaotie

0x05 参考:
https://bbs.aliyun.com/read/309931.html
https://github.com/alibaba/fastjson/wiki/security_update_20170315

标签:
墨月的头像
  • 本文由墨月网络整理编辑,转载请以链接形式注明本文地址:https://www.moyoo.net/13487.html
    版权所有© 墨月网络 | 本文采用 BY-NC-SA 进行授权丨发布于:2017-03-17 10:59
    若未注明,均为原创;部分内容源于网络,版权归原作者所有,如有侵权,请联系我们删除。
评论头像

关注我们,实时联系

AD

注册就送20美元

Vultr

推广

alimama

赞助商

广而告之

alimama