【風(fēng)險(xiǎn)通告】Fastjson遠(yuǎn)程代碼執(zhí)行漏洞
2020-05-28 00:00:00
近日�����,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Fastjson存在遠(yuǎn)程代碼執(zhí)行漏洞����,利用該漏洞可直接獲取服務(wù)器權(quán)限。
該漏洞利用門檻低�����,風(fēng)險(xiǎn)影響范圍較大�����,建議使用了Fastjson的用戶采取緩解措施并持續(xù)關(guān)注Fastjson的官方公告�����,避免被外部攻擊者入侵造成損失���。
漏洞名稱
Fastjson <=1.2.68全版本遠(yuǎn)程代碼執(zhí)行漏洞
風(fēng)險(xiǎn)等級(jí)
高危
漏洞描述
Fastjson <=1.2.68全版本存在遠(yuǎn)程代碼執(zhí)行漏洞��,可直接獲取到服務(wù)器權(quán)限��。漏洞成因是Fastjson autotype開關(guān)的限制可被繞過(guò)����,然后鏈?zhǔn)降胤葱蛄谢承┰静荒鼙环葱蛄谢挠邪踩L(fēng)險(xiǎn)的類����。漏洞實(shí)際造成的危害與 gadgets 有關(guān),gadgets中使用的類必須不在黑名單中�����,本漏洞無(wú)法繞過(guò)黑名單的限制�����。
影響版本
Fastjson <= 1.2.68
修復(fù)建議
截止公告發(fā)布����,官方暫未發(fā)布新版本,您可以采取下述緩解方案進(jìn)行解決��。
1)關(guān)注官方更新公告��,待官方更新后�,升級(jí)版本到1.2.69版本��;
2)升級(jí)到Fastjson 1.2.68版本���,通過(guò)配置以下參數(shù)開啟SafeMode來(lái)防護(hù)攻擊:ParserConfig.getGlobalInstance().setSafeMode(true);
(SafeMode 會(huì)完全禁用autotype,無(wú)視白名單�����,請(qǐng)注意評(píng)估對(duì)業(yè)務(wù)影響)
3) 推薦采用Jackson-databind或者Gson等組件進(jìn)行替換��。
建議您在安裝補(bǔ)丁前做好數(shù)據(jù)備份工作��,避免出現(xiàn)意外��。
參考鏈接
1)官方更新通告:https://github.com/alibaba/fastjson/releases
2)類似問(wèn)題參考:https://github.com/FasterXML/jackson-databind/issues/2620#
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/05/28