Fastjson存在远程代码执行高危安全漏洞

最新推荐文章于 2024-05-12 21:38:50 发布
最新推荐文章于 2024-05-12 21:38:50 发布
阅读量5.5k 收藏 1
点赞数 1
分类专栏: 漏洞通告

Fastjson简介:

    Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。

Fastjson安全通告:

    最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29或者更新版本。
    1.2.29是在1.2.28版本上修复了一些大家升级过程中遇到的问题的版本,非安全问题,如果升级到1.2.24~1.2.28以及各种sec01版本的,也是没有安全问题的。
    1.2.25/1.2.26/1.2.27都是在升级的过程中修复不兼容问题发布的过度版本,如果你是在此之前升级到这些版本,不用因为这次的安全问题再次升级。

更新方法:

  1. Maven依赖配置更新:
    通过maven配置更新,使用最新版本,如下:
    <dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.29</version>
    </dependency>
  2. 版本更新:
    1.2.28版本下载地址:fastjson_1.2.28

常见问题:

1.升级遇到不兼容问题:
    1.2.28/1.2.29已经修复了绝大多数兼容问题,但是总会有一些特殊的用法导致不兼容,如果你遇到不兼容问题,通过 alibaba/fastjson/wiki/查看不兼容问题,提供了遇到不兼容问题之后的使用相应的sec01版本解决办法。

2.升级之后报错autotype is not support:
   安全升级包禁用了部分autotype的功能,也就是”@type”这种指定类型的功能会被限制在一定范围内使用。如果你使用场景中包括了这个功能,https://github.com/alibaba/fastjson/wiki/enable_autotype 这里有一个介绍如何添加白名单或者打开autotype功能。

3.配置打开autotype之后是否存在安全漏洞
   在1.2.28/1.2.29以及所有的.sec01版本中,有多重保护,但打开autotype之后仍会存在风险,不建议打开,而是使用一个较小范围的白名单。

4.Android环境使用是否需要升级:
   目前未发现漏洞对Android系统产生影响,在Android环境中使用不用升级。

自我检查方法:

   在lib目录下执行如下命令,可以判断版本是否有问题
sudo -u admin lsof -X | grep fastjson | grep jar
| grep -v sec01 | grep -v 1.2.24 | grep -v 1.2.25 | grep -v 1.2.26 | grep -v 1.2.27
| grep -v 1.2.28 | grep -v 1.2.29

LC_shadow
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
总结,面对Fastjson 1.2.47远程代码执行漏洞,及时升级到安全版本是首要任务,同时结合其他防御措施,可以大大提高系统的安全性。作为开发者,我们应该时刻保持警惕,不断学习和了解最新的安全威胁,以应对可能出现...
高危Fastjson反序列化远程代码执行漏洞风险通告,请尽快升级
葡萄城技术团队博客
05-24 5371
据国家网络与信息安全信息通报中心监测发现,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。 据统计,此次事件影响Fastjson 1.2.80及之前所有版本。目前, Fastjson最新版本1.2.83已修复该漏洞。 葡萄城提醒广大开发者:请及时排查梳理受影响情况,在确保安全的前提下修复漏洞、消除隐患,提高网络系统安全防护能力,严防网络攻击事件。 漏洞描述 5月23日,Fastj
Fastjson 代码执行 CVE-2022-25845
蚁景网安学院
07-21 4549
Fastjson 代码执行漏洞,该漏洞允许攻击者绕过 Fastjson 中的&quot;AutoTypeCheck&quot;机制并实现远程代码执行。整个漏洞的分析花了很多时间,来来回回加断点调试了很久,对这个漏洞做一个自己的总结......
fastjson漏洞分析和解决方案
最新发布
m0_72406127的博客
05-12 462
fastjson漏洞分析和解决方案
CVE-2022-25845 反序列化漏洞分析
把梦想放飞在蓝色的天空里...
09-20 6766
CVE-2022-25845 反序列化漏洞分析
CVE-2022-25845 fastjson java反序列化漏洞
mirocky的博客
12-21 1092
在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上可以说是标准的数据交换格式。fastjson 是一个java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse 的性能提升到了极致。它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。
漏洞分析】Fastjson1.2.80版本RCE漏洞原理
olga5abl的博客
10-24 2284
通过研究v1.2.50和v1.2.68的绕过方式,主要是在ObjectDeserializer接口的子类JavaBeanDeserializer中存在expectClass非空的checkAutoType调用,这也是绕过的关键。这就是Fastjson中引入AutoType的原因,但是也正因为这个特性,因为功能设计之初在安全方面考虑不周,给后续的Fastjson使用者带来了无尽的痛苦。但是,Fastjson在序列化及反序列化的过程中,没有使用Java自带的序列化机制,而是自定义了一套机制。
fastjson远程代码执行漏洞
网安君的博客
03-29 5371
Fastjson 1.2.24 远程代码执行漏洞 漏洞说明 FastJson库是Java的一个Json库,其作用是将Java对象转换成json数据来表示,也可以将json数据转换成Java对象。在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 前提条件 开启autotype 影响范围 fastjson 1.2.22-1.2.24 jdk 1.7,1.8版本 漏洞复现 由于Fastj
热门Fastjson 中出现高危RCE漏洞
smellycat000的专栏
06-17 1266
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员详述了最近修复的位于热门 Fastjson 库中的一个高危漏洞(CVE-2022-25845),它可被用于执行远程代码。该漏洞和受支持的特性 “AutoType” 中的不受信任的反序列化有关。项目维护人员已于2022年5月23日在版本1.2.83中将其修复。JFrog 公司的研究员 Uriya Yavnie...
预警事项:Fastjson反序列化远程代码执行漏洞风险预警
05-24
阿里巴巴发布关于Fastjson安全公告,在1.2.80及以下版本存在反序列化风险。Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
fastjson、jackson databind漏洞修复记录
Mr.Niu的博客
02-11 2452
解决方案也是让升级jar包到2.14.0-rc2版本或以上,但是直接升级的时候有问题,springboot中的 spring-boot-starter-web 包中包含了jackson的版本(里面有个 spring-boot-starter-json,这个包里制定了jackson的相关版本),升级springboot版本或者其他方式,都对现有的项目造成了影响。声明:本人所写博客无任何权威性,解决办法是否符合自己的项目,自行判断。项目运行无问题,jar的版本都符合解决方案,然后上线发布……
FastJson远程命令执行漏洞
PassionNingG的博客
09-03 1334
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。文章内容多来于如有侵权立删。# FastJson远程命令执行漏洞学习笔记fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
Fastjson历史反序列漏洞分析(1.2.24-1.2.80)
dreamthe的博客
08-10 5642
本文章总结fastjson1.2.24到1.2.80所产生的反序列化漏洞,将其进行分析。希望多大家有帮助。
[Java安全]—fastjson漏洞利用
Sentiment的博客
07-03 5417
这两天要出去就不再学新东西了,正好两点睡不着了,起来学学fastjson弥补一些接下来的内容。Fastjson 组件是阿里巴巴开发的反序列化与序列化组件Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因:依赖 POJO POJO 是 Plain OrdinaryJava Object 的缩写,但是它通指没有使用 Entity Beans 的普通 java 对象,可以把 POJO 作为支持业务逻辑的协助类Demo 结果: test1可以看到调用时会自动调用对应的其次是若加上,则返回的内容除
Fastjson漏洞利用合集
2301_76786857的博客
03-07 1421
FastJson 是Alibaba 的一款开源Json解析库,可用于将Java 对象转换为其Json 表示形式,也可以用于将Json 字符串转换为等效的Java 对象。近几年来FastJson 漏洞层出不穷。RCE漏洞的源头:17年FastJson 爆出的1.2.24 反序列化漏洞
fastjson< 1.2.69远程代码执行漏洞cve编号
01-04
漏洞源于fastjson在处理JSON数据时存在安全漏洞,攻击者可以通过精心构造的JSON数据来实现远程代码执行,从而对系统进行攻击。 漏洞的产生主要是由于fastjson在处理反序列化时存在漏洞,攻击者可以通过构造恶意的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值