歡迎您光臨本站 註冊首頁

fastjson 被曝存在遠端程式碼執行漏洞,等級“高危”

←手機掃碼閱讀     admin @ 2020-05-31 , reply:0

fastjson 當前版本為 1.2.68 釋出於 3 月底,日前某安全運營中心監測到,fastjson <= 1.2.68 版本存在遠端程式碼執行漏洞,漏洞被利用可直接獲取伺服器許可權。360CERT 將漏洞等級定為“高危”。

該遠端程式碼執行漏洞原理是,autotype 開關的限制可以被繞過,鏈式反序列化攻擊者可以透過精心構造反序列化利用鏈,最終達成遠端命令執行。此漏洞本身無法繞過 fastjson 的黑名單限制,需要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用。

目前 fastjson 官方還未釋出修復版本,使用者可以升級到 fastjson 1.2.68 版本,並透過配置 ParserConfig.getGlobalInstance().setSafeMode(true) 引數開啟 SafeMode 防護攻擊,不過需要注意的是 safeMode 會完全禁用 autotype,無視白名單,需要評估對業務影響的。

詳情可以檢視:


[admin ]

來源:OsChina
連結:https://www.oschina.net/news/116066/fastjson-rec
fastjson 被曝存在遠端程式碼執行漏洞,等級“高危”已經有107次圍觀

http://coctec.com/news/all/show-post-236382.html