近日,海峽信息安全威脅情報中(zhōng)心監測到阿裏巴巴公司開(kāi)源Java開(kāi)發組件Fastjson存在遠程代碼執行漏洞。攻擊者利用上述漏洞可遠程執行任意代碼。目前官方已發布安全版本,海峽信息安全應急中(zhōng)心建議受影響單位和用戶立即升級至安全版本。
Fastjson是阿裏巴巴開(kāi)源的Java對象和JSON格式字符串的快速轉換的工(gōng)具庫。它可以解析JSON格式的字符串,支持将Java Bean序列化爲JSON字符串,也可以從JSON字符串反序列化到JavaBean。相關Fastjson版本存在遠程代碼執行漏洞,攻擊者可以在特定依賴下(xià)利用此漏洞繞過默認autoType關閉限制,從而反序列化有關安全風險的類。在特定條件下(xià)可能導緻遠程代碼執行。
受影響的産品及版本:
特定依賴存在下(xià)影響 Fastjson ≤1.2.80
海峽信息提醒各相關單位和用戶要強化風險意識,切實加強安全防範:
1、目前黑盾Web應用防火(huǒ)牆、黑盾入侵檢測系統、黑盾入侵防禦系統等安全設備支持漏洞防禦及相關漏洞的檢測:
如相關用戶設備規則庫未升級至最新規則庫,請及時升級設備規則庫版本,相關特征庫已發布到官網
upgrade.html
2、目前官方已發布安全版本:1.2.83,海峽信息提醒各相關單位和用戶要強化風險意識,切實加強安全防範:
建議用戶盡快自查,對受影響的版本及時升級至最新版本1.2.83:https://github.com/alibaba/fastjson/releases/tag/1.2.83
3、配置safeMode
Fastjson在 1.2.68 及之後的版本中(zhōng)引入了 safeMode,配置 safeMode 後,無論白(bái)名單和黑名單,都不支持 autoType,可杜絕此類反序列化漏洞攻擊(關閉autoType注意評估對業務的影響)。因此 1.2.68 及之後版本的用戶若無法通過版本升級來修複漏洞,可考慮配置開(kāi)啓 safeMode,如下(xià)提供三種配置SafeMode的方法:
a、在相應有引入Fastjson組件的代碼中(zhōng),配置加入如下(xià)代碼:ParserConfig.getGlobalInstance().setSafeMode(true)
b、通過fastjson.properties文件配置,在配置文件中(zhōng)加入如下(xià):fastjson.parser.safeMode=true
c、加上JVM啓動參數:-Dfastjson.parser.safeMode=true
具體(tǐ)配置方法可參考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
附參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-40233
返回頂部