【安全通告】Fastjson <=1.2.62远程代码执行漏洞通告

尊敬的标准互联用户,您好!

近日,标准互联监测到,Fastjson 1.2.62及之前版本存在远程代码执行漏洞,攻击者可利用该漏洞实现远程代码执行。

为避免您的业务受影响,标准互联建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。

Fastjson 1.2.62及之前版本由于缺少某些黑名单类过滤,导致攻击者可利用实现远程代码执行。

风险等级

高风险

漏洞风险

远程代码执行

影响版本

Fastjson <= 1.2.62

安全版本

截止公告发布,修复版本暂未发布,您可以采取下述【修复建议】中的缓解方案进行解决。

修复建议

目前官方暂未发布修复该漏洞的新版本,开启了autoType功能的受影响用户可通过关闭autoType来规避风险,另建议将JDK升级到最新版本。

autoType关闭方法:

1)方法一:修复代码关闭autoType

在项目源码中搜索如下代码,找到并将此行代码删除: ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

2)方法二:启动命令参数禁用autoType

在JVM中启动项目时,不添加如下参数: -Dfastjson.parser.autoTypeSupport=true:

漏洞参考

1)Fastjson官方:github.com/alibaba/fastjson

2)安全厂商通告:blog.nsfocus.net/fastjson0221/

3)类似问题参考:github.com/FasterXML/jackson-databind/issues/2620#

2020年02月21日
本博客所有文章如无特别注明均为原创。作者:标准互联复制或转载请以超链接形式注明转自 标准互联VPS粉丝站
原文地址《【安全通告】Fastjson <=1.2.62远程代码执行漏洞通告

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)