開源互助社區>資訊>軟件資訊

fastjson 釋出關於“反序列化遠端程式碼執行漏洞”的安全公告

←手機掃碼閱讀 admin @ 2020-06-01 , reply:0

昨天我們報導了 fastjson 補曝出存在高危遠端程式碼執行漏洞，今天 fastjson 官方釋出了安全公告：

https://github.com/alibaba/fastjson/wiki/security_update_20200601

以下為完整公告引用：

安全公告20200601

近日，阿里雲應急響應中心監測到fastjson爆發新的反序列化遠端程式碼執行漏洞，駭客利用漏洞，可繞過autoType限制，直接遠端執行任意命令攻擊伺服器，風險極大。

漏洞描述

fastjson採用黑白名單的方法來防禦反序列化漏洞，導致當駭客不斷髮掘新的反序列化Gadgets類時，在autoType關閉的情況下仍然可能可以繞過黑白名單防禦機制，造成遠端命令執行漏洞。經研究，該漏洞利用門檻較低，可繞過autoType限制，風險影響較大。阿里雲應急響應中心提醒fastjson使用者儘快採取安全措施阻止漏洞攻擊。

影響版本

fastjson <=1.2.68
fastjson sec版本 <= sec9
android版本不受此漏洞影響

升級方案

升級到最新版本1.2.69或者更新的1.2.70版本。

如果遇到相容問題，原地升級sec10版本。

1.1.15~1.1.31 -> 1.1.31.sec10
1.1.32~1.1.33 -> 1.1.33.sec10
1.1.34 -> 1.1.34.sec10
1.1.35~1.1.46 -> 1.1.46.sec10
1.2.0~1.2.2 -> 1.2.2.sec10 因為1.2.3之後的版本Map是沒有排序輸出的，如果不關注這個相容問題，升級到1.2.70
1.2.3~1.2.7 -> 1.2.7.sec10 因為1.2.7使用最多特別提供，也可以直接使用1.2.8.sec10
1.2.8 -> 1.2.8.sec10
1.2.9~1.2.29 -> 1.2.29.sec10
1.2.30~1.2.48 -> 1.2.48.sec10
1.2.49~1.2.68 -> 1.2.69或1.2.70 中間有很多sec10小版本，建議直接升級到1.2.69或1.2.70，如果遇到相容再考慮sec10版本

如果還遇到其他相容問題，這裡有更多的sec10版本 https://repo1.maven.org/maven2/com/alibaba/fastjson/

fastjson加固

fastjson在1.2.68及之後的版本中引入了safeMode，配置safeMode後，無論白名單和黑名單，都不支援autoType，可一定程度上緩解反序列化Gadgets類變種攻擊（關閉autoType注意評估對業務的影響）

開啟方法參考： https://github.com/alibaba/fastjson/wiki/fastjson_safemode

如有需要修改本註腳,請聯絡阿里巴巴，

© Alibaba Fastjson Develop Team

註明: 版權所有阿里巴巴,請註明版權所有者

If you need to amend this footnote, please contact Alibaba.

© Alibaba Fastjson Develop Team

Note: Copyright Alibaba, please indicate the copyright owner

Tags: 13

[admin ]

來源：OsChina

連結：https://www.oschina.net/news/116083/fastjson-security-update-20200601
fastjson 釋出關於“反序列化遠端程式碼執行漏洞”的安全公告已經有101次圍觀

本文地址：http://coctec.com/news/all/show-post-236504.html