- 1Springcloud笔记(2)-Eureka服务注册中心_j-cloud-server-eureka
- 2c++ 排序二_多个属性 实现排序 c++
- 3RuntimeError: CUDA error: no kernel image is available for execution on the device_[rank0]: runtimeerror: triton error [cuda]: device
- 4crc算法c++语言实现,C++开发之CRC校验实例详解
- 5Docker Desktop+WSL2并安装到D盘_docker安装到d盘
- 6Java注解的基本原理
- 7docker run时出现no such host问题的解决方法
- 8中文编码集的发展史(ASCII码、GBK、UTF-8)_中文旡码
- 9Ubuntu系统中anaconda创建虚拟环境 问题为conda:未找到命令_conda未找到命令ubuntu
- 10WIN10 edge浏览器阻止文件下载解决方法_microsoft edge已阻止不安全的文件
fastjson 检测json格式_Fastjson远程代码执行漏洞通告
赞
踩
0x00 漏洞概述
CVE ID | 暂无 | 时 间 | 2020-05-29 |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | Fastjson <= 1.2.68 |
0x01 漏洞详情
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
2020年5月28日,Github发布了有关Fastjson <= 1.2.68版本存在远程代码执行漏洞的公告,该漏洞可绕过autoType开关的限制,攻击者精心构造反序列化利用链,实现在目标机器上的远程代码执行。此漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成漏洞利用。
Fastjson版本检测命令:
lsof| grep fastjson
0x02 处置建议
截止到目前,官方还未发布1.2.69版本,建议广大用户及时关注官方更新通告,做好资产自查,以免遭受黑客攻击。
临时措施:
受影响用户可通过禁用autoType来规避风险,另外建议将JDK升级到最新版本。
由于autotype开关的限制可被绕过,请受影响用户升级fastjson至1.2.68版本,通过开启safeMode配置完全禁用autoType。三种配置SafeMode的方式如下:
在代码中配置:
ParserConfig.getGlobalInstance().setSafeMode(true);
加上JVM启动参数:如果有多个包名前缀,可用逗号隔开。
-Dfastjson.parser.safeMode=true
通过fastjson.properties文件配置:通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.safeMode=true
0x03 参考链接
https://github.com/alibaba/fastjson/releases
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
0x04 时间线
2020-05-28 Github发布漏洞公告
2020-05-29 VSRC发布漏洞通告
