0x00 漏洞概述
CVE ID | 暂无 | 时 间 | 2020-05-29 |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | Fastjson <= 1.2.68 |
0x01 漏洞详情
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
2020年5月28日,Github发布了有关Fastjson <= 1.2.68版本存在远程代码执行漏洞的公告,该漏洞可绕过autoType开关的限制,攻击者精心构造反序列化利用链,实现在目标机器上的远程代码执行。此漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成漏洞利用。
Fastjson版本检测命令:
lsof | grep fastjson
0x02 处置建议
截止到目前,官方还未发布1.2.69版本,建议广大用户及时关注官方更新通告,做好资产自查,以免遭受黑客攻击。
临时措施:
受影响用户可通过禁用autoType来规避风险,另外建议将JDK升级到最新版本。
由于autotype开关的限制可被绕过,请受影响用户升级fastjson至1.2.68版本,通过开启safeMode配置完全禁用autoType。( 注意:safeMode会完全禁用autotype,无视白名单,请注意评估对业务影响)三种配置SafeMode的方式如下:
在代码中配置:
ParserConfig.getGlobalInstance().setSafeMode(true);
加上JVM启动参数:如果有多个包名前缀,可用逗号隔开。
-Dfastjson.parser.safeMode=true
通过fastjson.properties文件配置:通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.safeMode=true
0x03 参考链接
https://github.com/alibaba/fastjson/releases
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
评论已关闭。