再這樣，真的要放棄fastjson了

【安全通告】Fastjson <=1.2.68全版本遠程代碼執(zhí)行漏洞通告

尊敬的騰訊云用戶，您好！

近日，騰訊云安全運營中心監(jiān)測到，Fastjson <=1.2.68版本存在遠程代碼執(zhí)行漏洞，漏洞被利用可直接獲取服務(wù)器權(quán)限。

為避免您的業(yè)務(wù)受影響，騰訊云安全建議您及時開展安全自查，如在受影響范圍，請您及時進行更新修復(fù)，避免被外部攻擊者入侵。

漏洞詳情

Fastjson是阿里巴巴的開源JSON解析庫，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean 。

騰訊安全玄武實驗室研究員發(fā)現(xiàn)，autotype開關(guān)的限制可被繞過，然后鏈?zhǔn)降胤葱蛄谢承┰臼遣荒鼙环葱蛄谢挠邪踩L(fēng)險的類。

漏洞實際造成的危害與 gadgets 有關(guān)，gadgets中使用的類必須不在黑名單中，本漏洞無法繞過黑名單的限制。

風(fēng)險等級

高風(fēng)險

漏洞風(fēng)險

遠程代碼執(zhí)行，獲取服務(wù)器系統(tǒng)權(quán)限

影響版本

Fastjson <= 1.2.68

修復(fù)建議

截止公告發(fā)布，官方暫未發(fā)布新版本，您可以采取下述緩解方案進行解決。：

1）關(guān)注官方更新公告，待官方更新后，升級版本到 1.2.69 版本；

2）升級到?Fastjson 1.2.68 版本，通過配置以下參數(shù)開啟 SafeMode 來防護攻擊：?ParserConfig.getGlobalInstance().setSafeMode(true);（safeMode 會完全禁用 autotype，無視白名單，請注意評估對業(yè)務(wù)影響）;

3)? 推薦采用 Jackson-databind 或者 Gson 等組件進行替換。

【備注】：建議您在安裝補丁前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外

漏洞參考

1）官方更新通告：https://github.com/alibaba/fastjson/releases

2）類似問題參考：https://github.com/FasterXML/jackson-databind/issues/2620#

2020-05-28

總結(jié)

以上是生活随笔為你收集整理的[转载] --- Fastjson1.2.68版及以下全版本远程代码执行漏洞通告的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。