近日(2019年6月22日),Fastjson爆出远程代码执行漏洞,可导致直接获取服务器权限,目前官方未发布公告说明,该漏洞经内部安全人员研究,影响范围较大,请各研发人员及时升级。fastjson 是阿里巴巴开源的一个性能很好的 Java 语言实现的 JSON 解析器和生成器,其高性能、功能强大、支持范围广是其特点。影响版本 <1.2.51
kxe2p93d1#
在2018年10月就发布版本修复,发布的 Release Note 包括了安全加固信息。具体升级指南看这里:https://github.com/alibaba/fastjson/wiki/update_faq_20190722
先内部升级再对外公布是正常流程。
jackson也有安全漏洞的,只是不会有人督促你升级而已。
升级过程中遇到问题可以找我支持。
钉钉号 wenshaojin2017微信号 wenshaojin微博 http://weibo.com/wengaotie
whlutmcx2#
@wenshao 说的是这个, #2500
9udxz4iz3#
具体是什么漏洞?不是17年那个吧?
uqjltbpv4#
@study-group123这个 吧要点就是autoType功能太作死,使外部人员可以随便要求服务端反序列化指定的类,相当于可以任意执行某个类的set函数,可能也包括静态初始化函数,目前的解决办法貌似是加黑名单,就是那堆安全加固。或许改成白名单是个更好的办法~ 不过我们这所有接口都是先用私有方法解析出post头的json字符串中的令牌字段,之后才有后续的fastjson反序列化操作,所以问题没那么大。
gr8qqesn5#
关注
dohp0rv56#
到底是是什么漏洞,据说<1.2.51版本都会有影响
11dmarpk7#
来说明下这个洞,fastjson目前流传的有两个洞比较厉害,一、fastjson版本<1.2.25,rce可以远程直接获取服务器权限(参考: https://github.com/alibaba/fastjson/wiki/security_update_20170315)二、fastjson版本<1.2.51(本次需要升级事项)目前安全市面利用poc已经公开(公开的利用脚本影响version<1.2.48),利用脚本可以远程直接获取服务器权限,目前黑产已经开始批量获取webshell开始搞了。(参考链接:官方拒绝发布公开文档说明次安全升级工作),猜测可能阿里内部未完成升级工作,所以暂时不公开文档说明。本次的漏洞版本<1.2.51,影响相当广,已知多个国内Top N的互联网公司均遭到这个漏洞的web入侵事件。
hzbexzde8#
文件:src/test/resources/fastjson.properties默认配置:#defaultfastjson.compatibleWithJavaBean=false#defaultfastjson.compatibleWithFieldName=false#defaultfastjson.parser.deny=读取配置代码:String property = IOUtils.getStringProperty(AUTOTYPE_SUPPORT_PROPERTY);AUTO_SUPPORT = "true".equals(property);由此来看,不是默认关闭autotype的么?
8mmmxcuj9#
这么严重的漏洞 release note 里只写一句『增强安全防护』?
9条答案
按热度按时间kxe2p93d1#
在2018年10月就发布版本修复,发布的 Release Note 包括了安全加固信息。具体升级指南看这里:
https://github.com/alibaba/fastjson/wiki/update_faq_20190722
先内部升级再对外公布是正常流程。
jackson也有安全漏洞的,只是不会有人督促你升级而已。
升级过程中遇到问题可以找我支持。
钉钉号 wenshaojin2017
微信号 wenshaojin
微博 http://weibo.com/wengaotie
whlutmcx2#
@wenshao 说的是这个, #2500
9udxz4iz3#
近日(2019年6月22日),Fastjson爆出远程代码执行漏洞,可导致直接获取服务器权限,目前官方未发布公告说明,该漏洞经内部安全人员研究,影响范围较大,请各研发人员及时升级。
fastjson 是阿里巴巴开源的一个性能很好的 Java 语言实现的 JSON 解析器和生成器,其高性能、功能强大、支持范围广是其特点。
影响版本 <1.2.51
具体是什么漏洞?不是17年那个吧?
uqjltbpv4#
@study-group123
这个 吧
要点就是autoType功能太作死,使外部人员可以随便要求服务端反序列化指定的类,相当于可以任意执行某个类的set函数,可能也包括静态初始化函数,目前的解决办法貌似是加黑名单,就是那堆安全加固。或许改成白名单是个更好的办法~ 不过我们这所有接口都是先用私有方法解析出post头的json字符串中的令牌字段,之后才有后续的fastjson反序列化操作,所以问题没那么大。
gr8qqesn5#
关注
dohp0rv56#
到底是是什么漏洞,据说<1.2.51版本都会有影响
11dmarpk7#
来说明下这个洞,fastjson目前流传的有两个洞比较厉害,
一、fastjson版本<1.2.25,rce可以远程直接获取服务器权限
(参考: https://github.com/alibaba/fastjson/wiki/security_update_20170315)
二、fastjson版本<1.2.51(本次需要升级事项)
目前安全市面利用poc已经公开(公开的利用脚本影响version<1.2.48),利用脚本可以远程直接获取服务器权限,目前黑产已经开始批量获取webshell开始搞了。
(参考链接:官方拒绝发布公开文档说明次安全升级工作),猜测可能阿里内部未完成升级工作,所以暂时不公开文档说明。
本次的漏洞版本<1.2.51,影响相当广,已知多个国内Top N的互联网公司均遭到这个漏洞的web入侵事件。
hzbexzde8#
文件:src/test/resources/fastjson.properties
默认配置:
#default
fastjson.compatibleWithJavaBean=false
#default
fastjson.compatibleWithFieldName=false
#default
fastjson.parser.deny=
读取配置代码:
String property = IOUtils.getStringProperty(AUTOTYPE_SUPPORT_PROPERTY);
AUTO_SUPPORT = "true".equals(property);
由此来看,不是默认关闭autotype的么?
8mmmxcuj9#
这么严重的漏洞 release note 里只写一句『增强安全防护』?