|
撸主最近收到了腾讯云的安全推送,吓得虎躯一震,特此通知一下各位小伙伴。 ( ?" x+ w e" M4 r' _' ~% D, K8 U
尊敬的腾讯云用户,您好!近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。 " B6 B/ a6 X7 u1 K
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 9 m1 v+ s: Z" m& z" p6 e
漏洞详情Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。 3 w/ e* _7 ?( D0 D8 S$ ~
腾讯安全玄武实验室研究员发现,autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。漏洞实际造成的危害与 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕过黑名单的限制。 9 N+ X& I9 d+ O2 i# i0 [9 {8 e
风险等级高风险漏洞风险远程代码执行,获取服务器系统权限影响版本Fastjson <= 1.2.68 ( j; b8 q* h6 V" J- ]% q5 f
修复建议
; G( @4 _% i3 q0 Y6 k0 l
截止公告发布,官方暂未发布新版本,您可以采取下述缓解方案进行解决。1)关注官方更新公告,待官方更新后,升级版本到 1.2.69 版本;2)升级到 Fastjson 1.2.68 版本,通过配置以下参数开启 SafeMode 来防护攻击: ( ^ Z$ u; u7 ^9 ?; p! ~4 j# c2 y
ParserConfig.getGlobalInstance().setSafeMode(true);(safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响);3) 推荐采用 Jackson-databind 或者 Gson 等组件进行替换。
0 ?4 e* L0 M3 B$ ]1 _9 Q
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
, A) w! W/ t5 H' G! ~
漏洞参考
. }$ M4 ?+ ]2 F
1)官方更新通告:
. V* Q$ D4 o# }' V. X Y4 N
| 
/1 
|Archiver|手机版|小黑屋|科帮网
( 鲁ICP备19059327号-2 ) 
窥视卡
雷达卡
发表于 2020-06-01 09:37:32
转播
淘帖
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡