紧急修复,阿里巴巴FastJson再爆高危安全漏洞

紧急修复,阿里巴巴FastJson再爆高危安全漏洞_第1张图片

 

尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。

腾讯安全玄武实验室研究员发现,autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。

漏洞实际造成的危害与 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕过黑名单的限制。

风险等级

高风险

漏洞风险

远程代码执行,获取服务器系统权限

影响版本

Fastjson <= 1.2.68

修复建议

截止公告发布,官方暂未发布新版本,您可以采取下述缓解方案进行解决。

1)关注官方更新公告,待官方更新后,升级版本到 1.2.69 版本;

2)升级到 Fastjson 1.2.68 版本,通过配置以下参数开启 SafeMode 来防护攻击:
ParserConfig.getGlobalInstance().setSafeMode(true);(safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响);

3) 推荐采用 Jackson-databind 或者 Gson 等组件进行替换。

【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外

漏洞参考

1)官方更新通告:

https://github.com/alibaba/fastjson/releases

2)类似问题参考:

https://github.com/FasterXML/jackson-databind/issues/2620#

推荐阅读

双非本科进不了大厂?阿里技术四面+交叉面+HR面,成功拿到offer

https://blog.csdn.net/weixin_45132238/article/details/106429426

从零开始学架构,每天花四小时学spring全家桶、高并发、分布式..

https://blog.csdn.net/weixin_45132238/article/details/106357002

你可能感兴趣的:(程序员)