Fastjson遠程代碼執行0day漏洞

最近接到領導要求,對應用系統引用fastjson進行版本升級漏洞修復。閒暇之際找了些資料供你們參考。git

前段時間,阿里云云盾應急響應中心監測到FastJSON存在0day漏洞,攻擊者能夠利用該漏洞繞過黑名單策略進行遠程代碼執行。github

FastJson介紹json

Fastjson是阿里巴巴的開源JSON解析庫,它能夠解析JSON格式的字符串,支持將Java Bean序列化爲JSON字符串,也能夠從JSON字符串反序列化到JavaBean。安全

漏洞名稱bash

FastJSON遠程代碼執行0day漏洞服務器

漏洞描述阿里雲

利用該0day漏洞,惡意攻擊者能夠構造攻擊請求繞過FastJSON的黑名單策略。例如,攻擊者經過精心構造的請求,遠程讓服務端執行指定命令(如下示例中成功運行計算器程序)。編碼

漏洞危害spa

經鬥象安全應急響應團隊分析Fastjson多處補丁修補出現紕漏,Fastjson在1.2.48版本如下,無需Autotype開啓,攻擊者便可經過精心構造的請求包在使用Fastjson的服務器上進行遠程代碼執行。code

影響範圍

FastJSON 1.2.48如下版本

修復方案

1.升級Fastjosn到1.2.58版本,並關閉Autotype;

2.WAF攔截Json請求中的多種編碼形式的‘@type’,‘\u0040type’等字樣;

3.建議儘量使用Jackson或者Gson;

4.升級JDK版本到8u121,7u13,6u141以上。

官方解決方案

升級至FastJSON最新版本,建議升級至1.2.58版本。

說明 強烈建議不在本次影響範圍內的低版本FastJSON也進行升級。

升級方法

您能夠經過更新Maven依賴配置,升級FastJSON至最新版本(1.2.58版本)。

<dependency>
 <groupId>com.alibaba</groupId>
 <artifactId>fastjson</artifactId>
 <version>1.2.58</version>
</dependency>
複製代碼

防禦建議

Web應用防火牆的Web攻擊防禦規則中已默認配置相應規則防禦該FastJSON 0day漏洞,啓用Web應用防火牆的Web應用攻擊防禦功能便可。

說明 若是您的業務使用自定義規則組功能自定義所應用的防禦規則,請務必在自定義規則組中添加如下規則:

更多參考

直接訪問該項目的開源地址:

github.com/alibaba/fas…

note:一天要作三件事,第一要笑,第二要微笑,第三要哈哈大笑。

相關文章
相關標籤/搜索