【风险公告】Fastjson远程代码执行缝隙
2020-05-28 00:00:00
近日�,234钱包安全应急响应中心监测到Fastjson存在远程代码执行缝隙�,利用该缝隙可直接获取服务器权限�。
该缝隙利用门槛低�,风险影响领域较大�,建议使用了Fastjson的用户采取缓解措施并持续关注Fastjson的官方布告�,预防被外部攻击者入侵造成损失�。
缝隙名称
Fastjson <=1.2.68全版本远程代码执行缝隙
风险等级
高危
缝隙描述
Fastjson <=1.2.68全版本存在远程代码执行缝隙�,可直接获取到服务器权限�。缝隙成因是Fastjson autotype开关的限度可被绕过�,而后链式地反序列化某些正本不能被反序列化的有安全风险的类�。缝隙现实造成的�:τ gadgets 有关�,gadgets中使用的类必须不在黑名单中�,本缝隙无法绕过黑名单的限度�。
影响版本
Fastjson <= 1.2.68
修复建议
截止布告颁布�,官方暂未颁布新版本�,您能够采取下述缓解规划进行解决�。
1)关注官方更新布告�,待官方更新后�,升级版本到1.2.69版本�;�;
2)升级到Fastjson 1.2.68版本�,通过配置以下参数开启SafeMode来防护攻击�:ParserConfig.getGlobalInstance().setSafeMode(true);
(SafeMode 会齐全禁用autotype�,忽视白名单�,请把稳评估对业务影响)
3) 推荐选取Jackson-databind或者Gson等组件进行代替�。
建议您在装置补丁前做好数据备份工作�,预防出现不测�。
参考链接
1)官方更新公告�:https://github.com/alibaba/fastjson/releases
2)类似问题参考�:https://github.com/FasterXML/jackson-databind/issues/2620#
北京234钱包网络技术有限公司
2020/05/28