最近接到領導要求,對應用系統引用fastjson進行版本升級漏洞修復。閒暇之際找了些資料供你們參考。git
前段時間,阿里云云盾應急響應中心監測到FastJSON存在0day漏洞,攻擊者能夠利用該漏洞繞過黑名單策略進行遠程代碼執行。github
FastJson介紹json
Fastjson是阿里巴巴的開源JSON解析庫,它能夠解析JSON格式的字符串,支持將Java Bean序列化爲JSON字符串,也能夠從JSON字符串反序列化到JavaBean。安全
漏洞名稱bash
FastJSON遠程代碼執行0day漏洞服務器
漏洞描述阿里雲
利用該0day漏洞,惡意攻擊者能夠構造攻擊請求繞過FastJSON的黑名單策略。例如,攻擊者經過精心構造的請求,遠程讓服務端執行指定命令(如下示例中成功運行計算器程序)。編碼
漏洞危害spa
經鬥象安全應急響應團隊分析Fastjson多處補丁修補出現紕漏,Fastjson在1.2.48版本如下,無需Autotype開啓,攻擊者便可經過精心構造的請求包在使用Fastjson的服務器上進行遠程代碼執行。code
影響範圍
FastJSON 1.2.48如下版本
修復方案
1.升級Fastjosn到1.2.58版本,並關閉Autotype;
2.WAF攔截Json請求中的多種編碼形式的‘@type’,‘\u0040type’等字樣;
3.建議儘量使用Jackson或者Gson;
4.升級JDK版本到8u121,7u13,6u141以上。
官方解決方案
升級至FastJSON最新版本,建議升級至1.2.58版本。
說明 強烈建議不在本次影響範圍內的低版本FastJSON也進行升級。
升級方法
您能夠經過更新Maven依賴配置,升級FastJSON至最新版本(1.2.58版本)。
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.58</version>
</dependency>
複製代碼
防禦建議
Web應用防火牆的Web攻擊防禦規則中已默認配置相應規則防禦該FastJSON 0day漏洞,啓用Web應用防火牆的Web應用攻擊防禦功能便可。
說明 若是您的業務使用自定義規則組功能自定義所應用的防禦規則,請務必在自定義規則組中添加如下規則:
更多參考
直接訪問該項目的開源地址:
note:一天要作三件事,第一要笑,第二要微笑,第三要哈哈大笑。