autotype安全fastjson_【安全通报】Fastjson远程代码执行漏洞

近日&＃xff0c;白帽汇安全研究院监测到&＃xff0c;Fastjson <1.2.69 版本存在远程代码执行漏洞&＃xff0c;可直接获取到服务器权限。该漏洞利用门槛低&＃xff0c;风险影响范围较大&＃xff0c;强烈建议使用了 Fastjson 的用户近期持续关注 Fastjson 官方公告。漏洞成因是Fastjson autotype开关的限制可被绕过&＃xff0c;然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。漏洞实际造成的危害与 gadgets 有关&＃xff0c;gadgets 中使用的类必须不在黑名单中&＃xff0c;本漏洞无法绕过黑名单的限制。

Fastjson 是一个Java 语言编写的高性能功能完善的 JSON 库。 它采用一种“假定有序快速匹配”的算法&＃xff0c;把 JSON Parse 的性能提升到极致&＃xff0c;是目前 Java 语言中最快的 JSON 库。 Fastjson 接口简单易用&＃xff0c;已经被广泛使用在缓存序列化、协议交互、Web 输出、Android 客户端等多种应用场景。

影响范围

Fastjson <1.2.69

修复

截止公告发布&＃xff0c;官方暂未发布新版本&＃xff0c;您可以采取下述缓解方案进行解决&＃xff1a;升级到 Fastjson 1.2.68 版本&＃xff0c;通过配置以下参数开启 SafeMode 来防护攻击&＃xff1a; ParserConfig.getGlobalInstance().setSafeMode(true);( safeMode 会完全禁用 autotype&＃xff0c;无视白名单&＃xff0c;请注意评估对业务影响)

推荐采用 Jackson-databind 或者 Gson 等组件进行替换。 建议您在安装补丁前做好数据备份工作&＃xff0c;避免出现意外

参考

白帽汇从事信息安全&＃xff0c;专注于安全大数据、企业威胁情报。

公司产品&＃xff1a;FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供&＃xff1a;网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。