Fastjson爆出远程代码执行漏洞,可导致直接获取服务器权限 这是真的嘛 官方不及时发公告么

inn6fuwd  于 2022-11-13  发布在  其他
关注(0)|答案(9)|浏览(201)

近日(2019年6月22日),Fastjson爆出远程代码执行漏洞,可导致直接获取服务器权限,目前官方未发布公告说明,该漏洞经内部安全人员研究,影响范围较大,请各研发人员及时升级。
fastjson 是阿里巴巴开源的一个性能很好的 Java 语言实现的 JSON 解析器和生成器,其高性能、功能强大、支持范围广是其特点。
影响版本 <1.2.51

kxe2p93d

kxe2p93d1#

在2018年10月就发布版本修复,发布的 Release Note 包括了安全加固信息。具体升级指南看这里:
https://github.com/alibaba/fastjson/wiki/update_faq_20190722

先内部升级再对外公布是正常流程。

jackson也有安全漏洞的,只是不会有人督促你升级而已。

升级过程中遇到问题可以找我支持。

钉钉号 wenshaojin2017
微信号 wenshaojin
微博 http://weibo.com/wengaotie

whlutmcx

whlutmcx2#

@wenshao 说的是这个, #2500

9udxz4iz

9udxz4iz3#

近日(2019年6月22日),Fastjson爆出远程代码执行漏洞,可导致直接获取服务器权限,目前官方未发布公告说明,该漏洞经内部安全人员研究,影响范围较大,请各研发人员及时升级。
fastjson 是阿里巴巴开源的一个性能很好的 Java 语言实现的 JSON 解析器和生成器,其高性能、功能强大、支持范围广是其特点。
影响版本 <1.2.51

具体是什么漏洞?不是17年那个吧?

uqjltbpv

uqjltbpv4#

@study-group123
这个
要点就是autoType功能太作死,使外部人员可以随便要求服务端反序列化指定的类,相当于可以任意执行某个类的set函数,可能也包括静态初始化函数,目前的解决办法貌似是加黑名单,就是那堆安全加固。或许改成白名单是个更好的办法~ 不过我们这所有接口都是先用私有方法解析出post头的json字符串中的令牌字段,之后才有后续的fastjson反序列化操作,所以问题没那么大。

dohp0rv5

dohp0rv56#

到底是是什么漏洞,据说<1.2.51版本都会有影响

11dmarpk

11dmarpk7#

来说明下这个洞,fastjson目前流传的有两个洞比较厉害,
一、fastjson版本<1.2.25,rce可以远程直接获取服务器权限
(参考: https://github.com/alibaba/fastjson/wiki/security_update_20170315)
二、fastjson版本<1.2.51(本次需要升级事项)
目前安全市面利用poc已经公开(公开的利用脚本影响version<1.2.48),利用脚本可以远程直接获取服务器权限,目前黑产已经开始批量获取webshell开始搞了。
(参考链接:官方拒绝发布公开文档说明次安全升级工作),猜测可能阿里内部未完成升级工作,所以暂时不公开文档说明。
本次的漏洞版本<1.2.51,影响相当广,已知多个国内Top N的互联网公司均遭到这个漏洞的web入侵事件。

hzbexzde

hzbexzde8#

文件:src/test/resources/fastjson.properties
默认配置:
#default
fastjson.compatibleWithJavaBean=false
#default
fastjson.compatibleWithFieldName=false
#default
fastjson.parser.deny=
读取配置代码:
String property = IOUtils.getStringProperty(AUTOTYPE_SUPPORT_PROPERTY);
AUTO_SUPPORT = "true".equals(property);
由此来看,不是默认关闭autotype的么?

8mmmxcuj

8mmmxcuj9#

这么严重的漏洞 release note 里只写一句『增强安全防护』?

相关问题