FastJson 重大漏洞,可使整个服务瘫痪,赶紧替换已修复版本

已于 2022-05-24 08:58:06 修改
阅读量1.9k 收藏 2
点赞数 2
分类专栏: Java 文章标签: fastjson alibaba
于 2019-09-09 16:11:19 首次发布
原文链接:https://cert.360.cn/warning/detail?id=82a509e4543433625d6fe4361b5802c9
版权

报告编号:B6-2019-090501

报告来源:360-CERT

报告作者:360-CERT

更新日期:2019-09-05

0x00 漏洞背景

2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。

360CERT 判断该漏洞危害中。影响面较大。攻击者可以通过发送构造好的请求而致使当前线程瘫痪,当发送的恶意请求过多时有可能使业务直接瘫痪。

建议广大用户对自身的业务/产品进行组件自查,防止自身业务受到攻击。

0x01 漏洞详情

漏洞的关键点在com.alibaba.fastjson.parser.JSONLexerBase#scanString中,当传入json字符串时,fastjson会按位获取json字符串,当识别到字符串为\x为开头时,会默认获取后两位字符,并将后两位字符与\x拼接将其变成完整的十六进制字符来处理:

public_image

而当json字符串是以\x结尾时,由于fastjson并未对其进行校验,将导致其继续尝试获取后两位的字符。也就是说会直接获取到\u001A也就是EOF:

public_image

当fastjson再次向后进行解析时,会不断重复获取EOF,并将其写到内存中,直到触发oom错误:

public_image

最终效果为:

public_image

0x02 影响版本

fastjson < 1.2.60版本

0x03 修复建议

  • 1.1.15~1.1.31版本更新到1.1.31.sec07版本
  • 1.1.32~1.1.33版本更新到1.1.33.sec06版本
  • 1.1.34 版本更新到1.1.34.sec06版本
  • 1.1.35~1.1.46版本更新到1.1.46.sec06版本
  • 1.2.3~1.2.7版本更新到1.2.7.sec06版本或1.2.8.sec04版本
  • 1.2.8 版本更新到1.2.8.sec06版本
  • 1.2.9~1.2.29 版本更新到1.2.29.sec06版本

0x04 时间线

2019-09-03 fastjson提交修补commit

2019-09-05 360CERT发布预警

0x05 参考链接

  1. 修复 #2689 字符串中包含\x转义字符时可能引发OOM的问题 · alibaba/fastjson@9958451 · GitHub
  2. Fix issue2689 (新版本解析到特定字符后直接触发异常) by Omega-Ariston · Pull Request #2692 · alibaba/fastjson · GitHub
day day day ...
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSON 被转义的字符引发BUG问题
发粪涂墙的小毛驴的博客
05-30 3万+
结论: 1、  在json_encode时候,第二个参数加上JSON_UNESCAPED_UNICODE。前提是需要PHP 5.4以上版本支持 2、  遇到json数据异常时候,请先关注字符是否包含\u000-\uffff这样字符,如果有需要想办法处理,否则json会转义。   背景:今天在和搜索部门同事进行搜索质量调优时候遇到一个问题,就是一个数据生成时候json格式正确。灌入他们引擎,
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
Hadoop技术博文
09-08 6118
报告编号:B6-2019-090501报告来源:360-CERT报告作者:360-CERT更新日期:2019-09-050x00 漏洞背景2019年9月5日,360CER...
漏洞复现】大华智能物联综合管理平台 fastjson远程代码执行漏洞
最新发布
siu~
05-29 1225
由于大华智能物联综合管理平台使用了存在漏洞的Fastson组件,未经身份验让的攻击者可利用 /ev0-uns/v1.0/auths/sysusers/random接口发送恶意的序列化数据执行任意指令,造成代码执行。
fastjson 字符串转map_FastJson漏洞,瞬间让你的服务瘫痪!根因分析
weixin_39594457的博客
11-22 339
前段时间,FastJson被挖出来一个漏洞,可能导致服务直接瘫痪,这个问题就严重,搞的人心惶惶,半夜拼命升级,就怕飞来横锅。各位大佬的公众号也纷纷转了一波,看了一圈,都是让提示大家赶紧升级。我也是很好奇,一个序列化工具那么大能耐,可以直接把服务瘫痪?本着好奇心,先看下最新版本是怎么修复的,上FastJson的github的官网,找到对应的commiter记录,很好找。就是它了,点进去可...
常用特殊字符
Polumgla的博客
10-12 2万+
"\u0000","\u0001","\u0002","\u0003","\u0004","\u0005","\u0006","\u0007","\u0008", "\u000B","\u000C", "\u000E","\u000F","\u0010","\u0011","\u0012","\u0013","\u0014","\u0015","\u0016", "\u0017","\u0018","\u0019","\u001A","\u001B","\u001C","\...
版本fastjson-1.2.71解决安全漏洞.rar
04-14
在标题提到的“高版本fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过更新到1.2.71版本修复这些已知的安全问题。 Fastjson的安全漏洞通常涉及其自动类型识别机制。这个机制允许JSON字符串...
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
fastjson-1.2.83 针对近期阿里fastjson漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
fastjson漏洞环境
01-12
在给定的“fastjson漏洞环境”中,我们关注的是三个特定版本Fastjson 反序列化漏洞1.2.67、1.2.66 和 1.2.62。 **一、Fastjson 反序列化漏洞** 1. **什么是反序列化漏洞?** 反序列化是将已序列化的数据恢复...
使用fastjson包字符串和json之间转换错误:com.alibaba.fastjson.JSONException: unclosed string :
洞庭波兮木叶下
07-24 9617
com.alibaba.fastjson.JSONException: unclosed string :  问题描述: com.alibaba.fastjson.JSONException: unclosed string :  String类型换换成字符串或者字符串转换成json报错; 问题原因: 1: com.alibaba.fastjson版本过低 2:被转换的字符串不规范(一般是字符串里面的引号不规范) 解决方法 1:如果fastjson是1.1.36版本的需要升级(下载新版本的fastjs
字符分隔符'\1'(\u0001)的使用
热门推荐
z1941563559的博客
04-24 4万+
拼接字符串使用字符’\1’,也就是\u0001 public class Test { public static void main(String[] args) { // d3fe1e186e41475ea965f4722f5488a8\\15093\\1公共设施 String str1 = "d3fe1e186e41475ea965f4722f5488...
后端返回二进制图片前端乱码解决方案
weixin_46801282的博客
03-09 9467
今天有小伙伴发现一个问题,后端返回一张图片,但是前端打印结果是�PNG\r\n\u001a\n\u0000\u0000\u0000\rIHDR\u这种unicode乱码,postman和浏览器调试返回都能看到图片 打印结果如图所示: 简单测试了一下,发现出现这种情况是因为后端图片没有转码成base64直接用文件流返回,就像这样 router.get('/test', (req, res) => { fs.readFile('./test.png', 'binary', function (err
Java串口通信
czx2018的博客
07-31 1992
最近在做一个短信猫发送短信的功能,在这过程中也熟悉了一些Java串口通讯的知识。 硬件准备 将短信猫或者其他的一些串口设备连接在电脑上,从设备管理器里就可以看到该外部设备了 因为我是用USB转串口,所以还需要再电脑上安装一个驱动,将设备连到电脑上之后打开驱动精灵,就会自动识别出需要下载的驱动,安装一下就好了。 在Windows上串口的名字一般是COM*,在Linux上串口的名字是/dev/tty...
建议将com.alibaba:fastjson升级至1.2.83
闫玉林的博客
02-25 1万+
【代码】存在安全漏洞,建议将com.alibaba:fastjson升级至1.2.83。
java 转义字符_JAVA中的转义字符
weixin_35588980的博客
02-12 2018
转义序列 含义\n 回车(\u000a)\t 水平制表符(\u0009)\b 空格(\u0008)\r 换行(\u000d)\f 换页(\u000c)\' 单引号(\u0027)\" 双引号(\u0022)\\ 反斜杠(\u005c)\ddd 三位八进制\udddd 四位十六进制JAVA中转义字符:1.八进制转义序列:\ + 1到3位5数字;范围'\000'~'\377'\0:空字符2.Unico...
项目从fastjson 1.2.83升级到2.0.9出现了转换属性和目标属性不一致
标竿人生的专栏
08-01 3457
fastjson 1.2.24-1.2.67 漏洞分析,附Poc分析
LTianHang的博客
05-28 1091
fastjson 1.2.24版本1.2.67版本 之间的版本漏洞分析,和已公开的Poc分析,fastjson 1.2.68以上版本漏洞分析,会开一篇新的文章进行整理
fastjson反序列化漏洞修复方法
12-27
Fastjson反序列化漏洞修复方法主要包括以下几个方面: 1. 更新Fastjson版本:及时更新Fastjson版本可以修复已知的漏洞,并且新版本通常会增加更多的安全性措施。 2. 配置白名单:通过配置白名单,限制Fastjson反序列化时可以处理的类和属性,只允许特定的类和属性进行反序列化操作,从而减少潜在的安全风险。 3. 使用AutoType特性:Fastjson提供了AutoType特性,可以在反序列化时自动检测类的类型信息,从而减少恶意代码的执行。可以通过设置AutoType的白名单,只允许特定的类进行反序列化操作。 4. 自定义反序列化过程:对于一些敏感的类和属性,可以自定义反序列化过程,使用安全的方式进行处理,避免恶意代码的执行。 5. 安全审计和代码检查:定期进行安全审计和代码检查,及时发现和修复潜在的安全漏洞,确保系统的安全性。 需要注意的是,Fastjson反序列化漏洞修复方法可能因具体的漏洞类型和系统环境而有所不同,建议根据具体情况采取相应的修复措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值