科帮网-Java论坛、Java社区、JavaWeb毕业设计

登录/注册
您现在的位置:论坛 盖世程序员(我猜到了开头 却没有猜到结局) 盖世程序员 > 紧急修复,阿里巴巴FastJson再爆高危安全漏洞
总共47988条微博

动态微博

查看: 213|回复: 0

紧急修复,阿里巴巴FastJson再爆高危安全漏洞

[复制链接]

114

主题

29

听众

429

金钱

传功长老

该用户从未签到

发表于 2020-06-01 09:37:32 |显示全部楼层
撸主最近收到了腾讯云的安全推送,吓得虎躯一震,特此通知一下各位小伙伴。
9 W  L4 W( p5 G3 M4 g) \
尊敬的腾讯云用户,您好!近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。

, v1 g' U% K" E3 u
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
: _9 F2 [/ X* g7 ^: h4 q3 _
漏洞详情Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。

; Q3 ]! q1 h: \& Y2 e5 E" y! L/ s* d
腾讯安全玄武实验室研究员发现,autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。漏洞实际造成的危害与 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕过黑名单的限制。
- C0 Q+ O2 f. t4 `8 o  o
风险等级高风险漏洞风险远程代码执行,获取服务器系统权限影响版本Fastjson <= 1.2.68
  t9 M8 n+ q) S4 n' R$ J
修复建议
( G7 ]/ h( O2 e! O# A  s: p4 \
截止公告发布,官方暂未发布新版本,您可以采取下述缓解方案进行解决。1)关注官方更新公告,待官方更新后,升级版本到 1.2.69 版本;2)升级到 Fastjson 1.2.68 版本,通过配置以下参数开启 SafeMode 来防护攻击:

; Z" ^+ [: {6 s
ParserConfig.getGlobalInstance().setSafeMode(true);(safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响);3) 推荐采用 Jackson-databind 或者 Gson 等组件进行替换。

, X3 {% N# l. G9 U! G: a$ K
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
1 J4 w, D: ]! e4 D* S/ H2 U5 b: `$ u
漏洞参考

8 z2 ~3 D7 x) ?
1)官方更新通告:
" K) H* Y/ Y/ {- R4 e

科帮网-Java论坛、Java社区、JavaWeb毕业设计 1、本主题所有言论和图片纯属会员个人意见,与本社区立场无关
2、本站所有主题由该帖子作者发表,该帖子作者与科帮网-Java论坛、Java社区、JavaWeb毕业设计享有帖子相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和科帮网-Java论坛、Java社区、JavaWeb毕业设计的同意
4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、科帮网-Java论坛、Java社区、JavaWeb毕业设计管理员和版主有权不事先通知发贴者而删除本文


JAVA爱好者①群:JAVA爱好者① JAVA爱好者②群:JAVA爱好者② JAVA爱好者③ : JAVA爱好者③

快速回复
您需要登录后才可以回帖 登录 | 立即注册

   

发布主题 快速回复 返回列表 联系我们 官方QQ群 科帮网手机客户端
快速回复 返回顶部 返回列表