绑定完请刷新页面
取消
刷新

分享好友

×
取消 复制
漏洞预警 | Fastjson远程代码执行0day漏洞
2019-12-26 16:38:06

来自:程序IT圈 作者:小猿

前段时间,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。

FastJson介绍

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

漏洞名称

FastJSON远程代码执行0day漏洞

漏洞描述

利用该0day漏洞,恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如,攻击者通过精心构造的请求,远程让服务端执行指定命令(以下示例中成功运行计算器程序)。

漏洞危害

经斗象安全应急响应团队分析Fastjson多处补丁修补出现纰漏,Fastjson在1.2.48版本以下,无需Autotype开启,攻击者即可通过精心构造的请求包在使用Fastjson的服务器上进行远程代码执行。

影响范围

FastJSON 1.2.48以下版本

修复方案

1.升级Fastjosn到1.2.58版本,并关闭Autotype;

2.WAF拦截Json请求中的多种编码形式的‘@type’,‘\\u0040type’等字样;

3.建议尽可能使用Jackson或者Gson;

4.升级JDK版本到8u121,7u13,6u141以上。

官方解决方案

升级至FastJSON新版本,建议升级至1.2.58版本。

说明 强烈建议不在本次影响范围内的低版本FastJSON也进行升级。

升级方法

您可以通过更新Maven依赖配置,升级FastJSON至新版本(1.2.58版本)。

<dependency>

<groupId>com.alibaba</groupId>

<artifactId>fastjson</artifactId>

<version>1.2.58</version>

</dependency>

防护建议

Web应用防火墙的Web攻击防护规则中已默认配置相应规则防护该FastJSON 0day漏洞,启用Web应用防火墙的Web应用攻击防护功能即可。

说明 如果您的业务使用自定义规则组功能自定义所应用的防护规则,请务必在自定义规则组中添加以下规则:

更多参考

直接访问该项目的开源地址:

https://github.com/alibaba/fastjson

分享好友

分享这个小栈给你的朋友们,一起进步吧。

网络、数据安全
创建时间:2019-11-27 14:29:45
密码算法对数据进行主动保护,信息存储手段对数据进行主动防护
展开
订阅须知

• 所有用户可根据关注领域订阅专区或所有专区

• 付费订阅:虚拟交易,一经交易不退款;若特殊情况,可3日内客服咨询

• 专区发布评论属默认订阅所评论专区(除付费小栈外)

栈主、嘉宾

查看更多
  • unnamed person1
    栈主

小栈成员

查看更多
  • pswyjz
  • 得一技术
  • xiaojun63
  • ?
戳我,来吐槽~