autotype安全 fastjson_Fastjson多个远程代码执行漏洞预警

最新推荐文章于 2023-03-21 20:30:32 发布
最新推荐文章于 2023-03-21 20:30:32 发布
阅读量170 收藏
点赞数
文章标签: autotype安全 fastjson
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39850699/article/details/111834865
版权

Fastjson多个远程代码执行漏洞预警

2020-03-22

一、概要

近日,华为云关注到fastjson爆出存在多个新的Gadgets( shiro-core、ignite-jta 、aries.transaction.jms、caucho-quercus)可造成反序列远程代码执行。3月22日fastjson官方Git发布1.2.67新版本,当中更新了autoType安全黑名单,由于黑名单的补充具有滞后性,建议使用fastjson的用户优先使用关闭autoType(1.2.25版本开始默认关闭autoType)的措施来规避此类攻击。

华为云提醒使用fastjson的用户及时安排自检并做好安全加固。

参考链接:

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

fastjson <= 1.2.67

四、漏洞处置

漏洞的利用前提是开启了autoType功能(在1.2.5x版本以上autoType默认是关闭状态),若用户开启了autoType功能,可通过关闭该功能进行临时规避,具体操作可参考以下两种方法:

1、 在项目源码中找到以下行代码并将其删除。

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

2、 在JVM中启动项目时,命令行中不添加autoType参数。

-Dfastjson.parser.autoTypeSupport=true

3月22日,官方已发布最新1.2.67版本更新了autoType安全黑名单。

目前,华为云WAF已具备对该漏洞攻击的防御能力,华为云WAF用户将Web基础防护的状态设置为“拦截”模式即可,具体方法请参见配置Web基础防护规则。

注:修复漏洞前请将资料备份,并进行充分测试。

weixin_39850699
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
然而,Fastjson 1.2.69 版本存在一个严重的反序列化远程代码执行漏洞,这使得攻击者有可能通过精心构造的输入数据,绕过防御机制,执行任意远程代码,对服务器的安全构成重大威胁。 **漏洞原理** Fastjson 在处理 ...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
fastjson漏洞修复:开启safeMode来禁用autoType
沛哥儿的专栏
05-26 6617
Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响 2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。
Fastjson AutoType
Fly_鹏程万里
05-07 7752
Fastjson 1.2.24特性 Fastjson 1.2.24有两个特性: 默认开启AutoType选项 在处理以@type形式传入的类的时候,会默认调用该类的共有set\get\is函数 于是乎,攻击者可以配合一些存在问题的类,来实现RCE,这也是Fastjson 系列的第一个RCE安全通告问题: https://github.com/alibaba/fastjson/wiki/se...
Caused by: com.alibaba.fastjson.JSONException: autoType is not support
qq_31459039的博客
05-10 1855
大体原因就是使用fastjson的时候:序列化时将class信息写入,反解析的时候,fastjson默认情况下会开启autoType的检查,相当于一个白名单检查吧,如果序列化信息中的类路径不在autoType中,反解析就会报上面的com.alibaba.fastjson.JSONException:autoType is not support的异常 打开autotype功能 1、JVM启动...
Tomcat环境问题
smallheadbaba的博客
03-21 57
第 127行 添加 JAVA_OPTS="$JAVA_OPTS -Dfastjson.parser.autoTypeSupport=true" 保存,重启应用 supervisorctl restart tomcat-basex。
解决 com.alibaba.fastjson.JSONException: autoType is not support
08-26 1823
打开autotype功能 1、JVM启动参数 -Dfastjson.parser.autoTypeSupport=true 2、代码中设置 ParserConfig.getGlobalInstance().setAutoTypeSupport(true); 如果有使用非全局P...
fastjson-1.2.83 针对近期阿里fastjson漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
fastjson在一些特殊场景下的漏洞挖掘与利用 .pdf
09-05
2. **代码审计**:对使用Fastjson代码进行深度审计,查找可能的不当使用,如过度信任用户输入,未正确配置autotype等。 3. **强化WAF规则**:根据新发现的Fastjson漏洞,及时更新WAF的检测规则,提高对这类攻击的...
fastjson-1.2.25.jar
09-02
这是fastjson第一个修改了autotype的默认选项的版本,默认不开启autotype安全性有了相对明显的提升。 用这个版本的fastjson可以方便做一些相关的安全研究,和以往的版本对比,来寻找升级的地方。
如何解决 fastjson autoType is not support 问题
ttyy1112的专栏
06-30 1万+
如何解决fastjson autoType is not support问题1. 添加白名单配置全局对象配置jvm启动参数配置fastjson.properties文件2. 打开autoType功能配置全局对象配置jvm启动参数配置fastjson.properties文件Maven Configuration Sample参考 fastjson版本升级后执行程序报 autoType is not support. 可以考虑通过以下两种方式解决: 1. 添加白名单 配置全局对象 在通过JSON, JSONA
Fastjson源码分析—ParserConfig的作用及原理(1)
qq_45854465的博客
11-08 8381
使用Fastjson进行反序列化时,我们总希望能够对反序列化的过程进行一个定制,有时候这种定制我们希望是临时的,有时希望是全局的。之前提到过我们可以通过feature参数对反序列化的属性进行定制,包括是否允许使用大括号、是否允许多重逗号等。今天谈一下ParserConfig类,它拥有比feature更强大的功能,从更高的角度对反序列化过程进行控制,支持全局定制,也可以进对某一次反序列化改变其默认的行为。下面开始分析。 目录ParserConfig的使用ParserConfig的变量及含义ParserConf
ParserConfig.getGlobalInstance()解决autotype被禁止问题
qq_40321119的博客
09-15 4269
我所在的项目组是使用的微服务架构,我们组只负责我们自有模块,其他模块由其他团队负责,有一天,看到一条新闻说是fastjson修复了一些高危漏洞,然后我们就协定升版本,然后今天就踩到了这个坑,报错如下: com.alibaba.fastjson.JSONException: unclosed.str 1.问题展示 问题是这样的,我们原有代码转换的时候一个json字符串处理如下 String str = "{‘@type‘:‘com.dcf.platform.token.MessageHolder‘,‘for
fastjson漏洞解决—2020年5月28日
06-08 1万+
一、前言 fastjson真是不让人省心,2020年5月28日又报了漏洞fastjson的作用: 将javabean序列化为json格式的字符串。 将json格式的字符串,反序列化为javabean。 二、fastjson使用过程 添加maven依赖: <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <v
阿里巴巴fastjson的使用问题
Sophia2106的博客
05-10 525
最近项目里用到了阿里巴巴的fastjson工具,遇到一些问题,记录分享一下 github说明: fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 使用: 添加maven依赖 <dependency> <groupId&...
解决com.alibaba.fastjson.JSONException: autoType is not support
热门推荐
左手吐司 · 右手花卷
05-18 3万+
最近发现进程运行日志中出现很多下面的日志: com.alibaba.fastjson.JSONException: autoType is not support. com.jd.ac.domain.api.offline.UserInfo at com.alibaba.fastjson.parser.ParserConfig.checkAutoType(ParserConfig.
Exception in thread "main" com.alibaba.fastjson.JSONException: autoType is not support. com.exa.demo
zuihongyan518的博客
07-11 1843
将类反序列化的时候,报错:再网上查询了一些资料,现在推荐几个网址供大家参考:http://www.tinygroup.org/docs/3281429682083150397https://github.com/alibaba/fastjson/wiki/enable_autotype大体原因就是使用fastjson的时候:序列化时将class信息写入,反解析的时候,fastjson默认情况下会开...
fastjson出现ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
beyond丿灬的博客
09-02 7181
转换前使用 ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
fastjson升级版本遇到的问题
weixin_30552811的博客
03-27 1613
fastjson升级版本遇到的问题 前面的话: 有关阿里的fastjson升级时遇到的问题,链接如下 https://github.com/alibaba/fastjson/wiki/enable_autotype 我要说的,是我碰到这个问题时的一些处理 1、问题描述: 我所在的项目组是使用的微服务架构,我们组只负责我们自有模块,其他...
fastjson <= 1.2.80 反序列化任意代码执行漏洞
最新发布
09-02
fastjson 存在反序列化任意代码执行漏洞。该漏洞利用了黑白名单防御机制的绕过问题,即使autoType关闭,黑客仍然可以绕过黑白名单防御机制,从而导致远程命令执行漏洞。攻击者可以利用该漏洞攻击远程服务器,风险...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值