昨天我們報導了 fastjson 補曝出存在高危遠端程式碼執行漏洞,今天 fastjson 官方釋出了安全公告:
https://github.com/alibaba/fastjson/wiki/security_update_20200601
以下為完整公告引用:
近日,阿里雲應急響應中心監測到fastjson爆發新的反序列化遠端程式碼執行漏洞,駭客利用漏洞,可繞過autoType限制,直接遠端執行任意命令攻擊伺服器,風險極大。
fastjson採用黑白名單的方法來防禦反序列化漏洞,導致當駭客不斷髮掘新的反序列化Gadgets類時,在autoType關閉的情況下仍然可能可以繞過黑白名單防禦機制,造成遠端命令執行漏洞。經研究,該漏洞利用門檻較低,可繞過autoType限制,風險影響較大。阿里雲應急響應中心提醒fastjson使用者儘快採取安全措施阻止漏洞攻擊。
升級到最新版本1.2.69或者更新的1.2.70版本。
如果遇到相容問題,原地升級sec10版本。
如果還遇到其他相容問題,這裡有更多的sec10版本 https://repo1.maven.org/maven2/com/alibaba/fastjson/
fastjson在1.2.68及之後的版本中引入了safeMode,配置safeMode後,無論白名單和黑名單,都不支援autoType,可一定程度上緩解反序列化Gadgets類變種攻擊(關閉autoType注意評估對業務的影響)
如有需要修改本註腳,請聯絡阿里巴巴,
© Alibaba Fastjson Develop Team
註明: 版權所有阿里巴巴,請註明版權所有者
If you need to amend this footnote, please contact Alibaba.
© Alibaba Fastjson Develop Team
Note: Copyright Alibaba, please indicate the copyright owner
[admin
]