Java 库 fastjson 发布关于 “反序列化远程代码执行漏洞”安全公告

小笨 2020年6月5日22:34:35 发表评论 102 views

昨天我们报导了fastjson 补曝出存在高危远程代码执行漏洞,今天 fastjson 官方发布了安全公告:

https://github.com/alibaba/fastjson/wiki/security_update_20200601

以下为完整公告引用:

安全公告 20200601

近日,阿里云应急响应中心监测到 fastjson 爆发新的反序列化远程代码执行漏洞,黑客利用漏洞,可绕过 autoType 限制,直接远程执行任意命令攻击服务器,风险极大。

漏洞描述

fastjson 采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化 Gadgets 类时,在 autoType 关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过 autoType 限制,风险影响较大。阿里云应急响应中心提醒 fastjson 用户尽快采取安全措施阻止漏洞攻击。

影响版本

  • fastjson

  • fastjson sec 版本

  • android 版本不受此漏洞影响

升级方案

升级到最新版本 1.2.69 或者更新的 1.2.70 版本。

如果遇到兼容问题,原地升级 sec10 版本。

  • 1.1.15~1.1.31 -> 1.1.31.sec10

  • 1.1.32~1.1.33 -> 1.1.33.sec10

  • 1.1.34 -> 1.1.34.sec10

  • 1.1.35~1.1.46 -> 1.1.46.sec10

  • 1.2.0~1.2.2 -> 1.2.2.sec10  因为 1.2.3 之后的版本 Map 是没有排序输出的,如果不关注这个兼容问题,升级到 1.2.70

  • 1.2.3~1.2.7 -> 1.2.7.sec10  因为 1.2.7 使用最多特别提供,也可以直接使用 1.2.8.sec10

  • 1.2.8 -> 1.2.8.sec10

  • 1.2.9~1.2.29 -> 1.2.29.sec10

  • 1.2.30~1.2.48 -> 1.2.48.sec10

  • 1.2.49~1.2.68 -> 1.2.691.2.70  中间有很多 sec10 小版本,建议直接升级到 1.2.69 或 1.2.70,如果遇到兼容再考虑 sec10 版本

如果还遇到其他兼容问题,这里有更多的 sec10 版本 https://repo1.maven.org/maven2/com/alibaba/fastjson/

fastjson 加固

fastjson 在 1.2.68 及之后的版本中引入了 safeMode,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType,可一定程度上缓解反序列化 Gadgets 类变种攻击(关闭 autoType 注意评估对业务的影响)

如有需要修改本注脚 , 请联系阿里巴巴,

© Alibaba Fastjson Develop Team

注明 : 版权所有阿里巴巴 , 请注明版权所有者

If you need to amend this footnote, please contact Alibaba.

© Alibaba Fastjson Develop Team

Note: Copyright Alibaba, please indicate the copyright owner

文章来源于互联网:Java 库 fastjson 发布关于 “反序列化远程代码执行漏洞”安全公告

生成海报
weinxin
【微信~支付宝~QQ】打赏
如果本文对你有所帮助,请打赏~1元就足够感动我
小笨

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: