风险提示:Fastjson 反序列化漏洞,火绒安全发布检测工具

2022-05-25|

漏洞基础信息

漏洞编号

漏洞等级

高危

漏洞类型

远程代码执行

影响范围

Fastjson≤1.2.80

修复版本

Fastjson 1.2.83


漏洞威胁概况

PoC

暂无

Exp

暂无

在野利用

未知


漏洞描述

Fastjson是一个开源的Java对象和JSON格式字符串快速转换的工具库。近日,Fastjson官方发布安全公告,修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞,并使用黑名单用于防御反序列化漏洞。该漏洞在特定条件下可绕过默认AutoType关闭限制,攻击远程服务器。


火绒安全已上线Fastjson漏洞本地检测工具,帮助用户排查本地是否有存在漏洞的Java库,请用户尽快自查更新进行防护。火绒安全产品不受此漏洞影响。


检测工具下载地址:https://down5.huorong.cn/tools/fastjsonDetectionTool.zip


修复建议

1、更新到最新版本 1.2.83

https://github.com/alibaba/fastjson/releases/tag/1.2.83


2、升级到Fastjson v2

https://github.com/alibaba/fastjson2/releases


3、开启安全模式

Fastjson在1.2.68及之后的版本中引入了SafeMode,配置SafeMode后,无论白名单和黑名单,都不支持AutoType,可杜绝反序列化Gadgets类变种攻击(关闭AutoType注意评估对业务的影响)

开启方法参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode


官方通告:

https://github.com/alibaba/fastjson/wiki/security_update_20220523


标签: 漏洞 Fastjson 序列化 https alibaba 版本 安全 github 1.2 修复
出处: https://www.toutiao.com/article/7101205507666706985/?log_from=ed1b00ae9eb0d_1653464739702

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护