V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
GrapeCityChina
V2EX  ›  推广

高危! Fastjson 反序列化远程代码执行漏洞风险通告,请尽快升级

  •  
  •   GrapeCityChina · 2022-05-24 14:26:05 +08:00 · 855 次点击
    这是一个创建于 920 天前的主题,其中的信息可能已经有所发展或是发生改变。

    据国家网络与信息安全信息通报中心监测发现,开源 Java 开发组件 Fastjson 存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。 据统计,此次事件影响 Fastjson 1.2.80 及之前所有版本。目前,Fastjson 最新版本 1.2.83 已修复该漏洞。 葡萄城提醒广大开发者:请及时排查梳理受影响情况,在确保安全的前提下修复漏洞、消除隐患,提高网络系统安全防护能力,严防网络攻击事件。

    漏洞描述

    5 月 23 日,Fastjson 官方发布公告称在 1.2.80 及以下版本中存在新的反序列化风险,在特定条件下可绕过默认 autoType 关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。 Fastjson 是开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean 。由于具有执行效率高的特点,Fastjson 被众多 java 软件作为组件集成,广泛存在于 java 应用的服务端代码中。

    漏洞详情

    • 漏洞名称: Fastjson 反序列化远程代码执行漏洞 • 漏洞编号: 暂无 • 漏洞类型: 远程任意代码执行 • 组件名称: Fastjson • 影响版本: Fastjson ≤ 1.2.80 • 漏洞等级: 严重

    修复建议

    1 、升级到最新版本 1.2.83 ,下载地址: https://github.com/alibaba/fastjson/releases/tag/1.2.83 由于该版本涉及 autotype 行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。

    2 、safeMode 加固 Fastjson 在 1.2.68 及之后的版本中引入了 safeMode ,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType ,可杜绝反序列化 Gadgets 类变种攻击。

    3 、升级到 Fastjson v2 ,下载地址: https://github.com/alibaba/fastjson2/releases Fastjson 已经开源 2.0 版本,在 2.0 版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2 代码已经重写,性能有了很大提升,不完全兼容 1.x ,升级需要做认真的兼容测试。升级遇到问题,可以在 https://github.com/alibaba/fastjson2/issues 寻求帮助。

    排查建议

    • Maven:排查 pom.xml ,通过搜索 Fastjson 确定版本号 • 其他项目通过搜索 jar 文件确定 Fastjson 版本号

    小声补一句,经过测试,我们的Wyn活字格SpreadJSGcExcel都并未使用 Fastjson JSON 库,因此大家无需担心安全问题。

    目前尚无回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2795 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 02:30 · PVG 10:30 · LAX 18:30 · JFK 21:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.