服务器之家:专注于服务器技术及软件下载分享
分类导航

服务器资讯|IT/互联网|云计算|区块链|软件资讯|操作系统|手机数码|百科知识|免费资源|头条新闻|

服务器之家 - 新闻资讯 - 软件资讯 - Java 库 fastjson 被曝存“高危”远程代码执行漏洞

Java 库 fastjson 被曝存“高危”远程代码执行漏洞

2020-05-31 20:50开源中国 软件资讯

fastjson 当前版本为1.2.68发布于 3 月底,日前某安全运营中心监测到,fastjson = 1.2.68 版本存在远程代码执行 漏洞 ,漏洞被利用可直接获取服务器权限。360CERT将漏洞等级定为高危。 该远程代码执行漏洞原理是,autotype 开关的限制可以

fastjson 当前版本为1.2.68发布于 3 月底,日前某安全运营中心监测到,fastjson <= 1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。360CERT将漏洞等级定为“高危”。

Java 库 fastjson 被曝存“高危”远程代码执行漏洞

Java 库 fastjson 被曝存“高危”远程代码执行漏洞

该远程代码执行漏洞原理是,autotype 开关的限制可以被绕过,链式反序列化攻击者可以通过精心构造反序列化利用链,最终达成远程命令执行。此漏洞本身无法绕过 fastjson 的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

目前 fastjson 官方还未发布修复版本,使用者可以升级到fastjson 1.2.68 版本,并通过配置 ParserConfig.getGlobalInstance().setSafeMode(true)参数开启 SafeMode 防护攻击,不过需要注意的是safeMode 会完全禁用 autotype,无视白名单,需要评估对业务影响的。

详情可以查看:

https://cloud.tencent.com/announce/detail/1112

https://www.anquanke.com/post/id/207029

延伸 · 阅读

精彩推荐