- 1uniapp打包app后,微信授权登录_uniapp app端 怎么实现微信授权登陆
- 2PLLE2_ADV、MMCME2_ADV源语详解
- 3sa-token多端登陆实现,PC,APP登陆分别设置token过期时间
- 4Python面试题大全(三):Web开发(Flask、爬虫)(1)_python web开发简答题
- 5Python学习总结之路--第二周
- 6机器学习-31-多变量异常检测LOF算法(实战)
- 7使用base64加密解密的多种方法:包含pc端和微信小程序
- 8CROSSFORMER: TRANSFORMER UTILIZING CROSSDIMENSION DEPENDENCY FOR MULTIVARIATE TIME SERIES FORECASTIN_crossformer: transformer utilizing cross-dimension
- 9MuJoCo 入门教程(一)_mujoco使用教程
- 10升级android studio后library中引用aar文件问题_compileonly filetree
fastjson safemode_Fastjson <1.2.69反序列化远程代码执行漏洞安全警告 - UCloud中立云计算服务商...
赞
踩
UCloud-202005-004:Fastjson <1.2.69反序列化远程代码执行漏洞安全警告
发布时间
2020-05-28
更新时间
2020-05-28
漏洞等级
High
CVE编号
漏洞详情
Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化攻击者精心构造反序列化利用链,最终达成远程命令执行的后果。此漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。
影响范围
Fastjson < 1.2.69
Fastjson sec版本 < sec10
android版本不受此漏洞影响
修复方案
1.升级至安全版本,参考以下链接:
https://repo1.maven.org/maven2/com/alibaba/fastjson/
注意:较低版本升级至最新版本1.2.69可能会出现兼容性问题,建议升级至特定版本的sec10 bugfix版本,具体参考:
https://github.com/alibaba/fastjson/wiki/security_update_20200601
2.fastjson加固
fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可一定程度上缓解反序列化Gadgets类变种攻击,开启方法参考:
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
注意:safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响;
3.使用UCloud WAF进行安全防御:https://www.ucloud.cn/site/product/uewaf.html
参考链接
