fastjson漏洞--以运维角度进行修复

于 2024-09-11 18:11:29 发布
阅读量730 收藏 9
点赞数 6
分类专栏: 等保 文章标签: 运维 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50902636/article/details/142145282
版权

文章目录

前言

该漏洞是三个月前由安全团队扫描出来的,主要影响是: FastJSON是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。FastJSON 存在反序列化远程代码执行漏洞,漏洞成因是Fastjson autoType开关的限制可被绕过,然后反序列化有安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。本文主要从运维侧修复手段介绍了该漏洞的两种修复方式。

提示:以下是本篇文章正文内容,下面案例如果不放心,先自行在测试环境验证,验证通过后再上生产环境操作

一、漏洞详情

FastJSON是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。 FastJSON 存在反序列化远程代码执行漏洞,漏洞成因是Fastjson autoType开关的限制可被绕过,然后反序列化有安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。 主要影响FastJSON<=1.2.80 版本

二、修复过程

修复过程涉及到服务重启,请自行确认重启时间

1.通过脚本方式修复

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况

注意事项:
	1、该脚本适合以 lib 库形式依赖 fastjson-*.jar 包的Java微服务包,如 Springboot 打包的 jar 包。
	2、该脚本不支持直接打包 fastjson class 的 jar 包,即 jar 包中存在 "com/alibaba/fastjson/..." 类似结构,需要从代码升级修复。
	3、该脚本不支持docker 镜像包据说有签名校验,直接改镜像文件可能会导致不可用。由于环境所限,这种情况没有验证过。
	4、脚本适合 fastjson 全部版本。

1.1.脚本修复原理

1、扫描当前服务器所有jar包。
2、查看jar包依赖包中是否包括  fastjson-*.jar 包。
3、如果有,更新该依赖包为fastjson-1.2.83.jar。同时脚本在更新 jar 包之前,会备份该jar包到/export/fastjson_repair_workspace/backup_jars/ 目录下,防止替换后服务启动失败,后续方便回滚。

1.2.脚本演示

#!/bin/bash
# 2024-09-02
WORK_DIR="/root/fastjson_repair_workspace"
BACKUP_DIR="$WORK_DIR/backup_jars"
ALL_JARS="$WORK_DIR/all_jars.txt"
TARGET_JARS="$WORK_DIR/target_jars.txt"
DONE_FILE="$WORK_DIR/DONEFILE"
TARGET_VERSION="fastjson-1.2.81.jar" #修改为当前jar包中对应的fastjson包名,去lib目录下确认即可
FIX_VERSION="fastjson-1.2.83.jar"    #要确认升级的包

#检查脚本执行环境是否具备超管权限
function check_env() {
    mkdir -p $BACKUP_DIR
    if [ $? -eq 1 ];then
        echo "Permission denied, need root user"
        exit
    fi
}

#检查脚本执行用户,必须以服务器管理员root用户执行
function check_user() {
    if [ "$(whoami)" != "root" ];then
        echo "Need root user"
        exit
    fi
}

#检查是否有zip命令
function check_zip() {
    which zip &> /dev/null
    if [ $? -eq 1 ];then
        echo "Install zip first"
        exit
    fi
}
#检查是否有unzip命令
function check_unzip() {
    which unzip &> /dev/null
    if [ $? -eq 1 ];then
        echo "Install unzip first"
        exit
    fi
}
#检查当前服务器环境中是否存在要修复的fastjson包
check_fastjson_jar() {
    if [ ! -f ./$FIX_VERSION ];then
        echo "Fix task need $FIX_VERSION"
        exit
    fi
}

#环境检查
function check_find_env() {
    check_user
    check_env
    check_zip
}

function check_fix_env() {
    check_user
    check_env
    check_zip
    check_unzip
    check_fastjson_jar
}

#查看服务器所有jar包
function find_all_jars() {
    echo "Finding all jars ..."
    mkdir -p $WORK_DIR
    if [ -f $ALL_JARS ];then
        if [ -f $DONE_FILE ];then
            echo "Jarlist exsit: $ALL_JARS"
        else
            rm -f $ALL_JARS
            echo "Jarlist broken, run again"
            exit
        fi
    else
        find / -path "$BACKUP_DIR" -prune -o -path "/proc" -prune -o -print | grep "\.jar$" > $ALL_JARS
        if [ $? -eq 0 ];then
            touch $DONE_FILE
        fi
    fi
    echo "Find " $(wc -l $ALL_JARS|awk '{print$1}') " jars."
    echo
}


function find_lib_jars() {
    echo $* > /tmp/tmp_jarlist
    while read line;
    do
        fastjson_version=$(echo $line|awk -F'/' '{print$NF}')
        if [[ "$fastjson_version" < "$TARGET_VERSION" ]];then
            return 1
        fi
    done < /tmp/tmp_jarlist
    return 0
}

#检查查找出来的jar包是否包含target_version版本的包
function find_target_jars() {
    echo "Finding target jars ..."
    > $TARGET_JARS
    num=1
    while read jar;
    do
        ret=$(unzip -l $jar 2> /dev/null | grep fastjson.*jar| grep -v "Archive")
        if [ -n "$ret" ];then
            find_lib_jars $ret
            if [ $? -eq 1 ];then
                echo "Find [$num] $jar"
                echo $jar >> $TARGET_JARS
                ((num++))
            fi
        else
            ret=$(unzip -l $jar 2> /dev/null | grep "com/alibaba/fastjson" |grep -v "Archive")
            if [ -n "$ret" ];then
                echo "[NOT support] Find [$num] $jar"
                ((num++))
            fi
        fi
    done < $ALL_JARS
    echo "Find " $(wc -l $TARGET_JARS|awk '{print$1}') " target jars."
    echo
}

#替换jar包
function update_jars() {
    jarpath=$1
    filepath=$2
    jarname=$(basename $jarpath)
    filedir=$(dirname $filepath)
    mkdir -p /export/fastjson_repair_workspace/libjars/
    cp $jarpath /export/fastjson_repair_workspace/libjars/$jarname
    mkdir -p /export/fastjson_repair_workspace/libjars/$filedir
    cp ./$FIX_VERSION /export/fastjson_repair_workspace/libjars/$filedir
    cd /export/fastjson_repair_workspace/libjars/
    zip -d $jarname $filepath
    echo "adding: $filedir/$FIX_VERSION"
    jar -uf0 $jarname $filedir/$FIX_VERSION
    cp -f $jarname $jarpath
    cd - &> /dev/null
    rm -rf /export/fastjson_repair_workspace/libjars/*
}
#修复jar包
function fix_lib_jars() {
    jarpath=$1
    if [ ! -n "$(unzip -l $jarpath 2> /dev/null | grep fastjson.*jar | grep -v "Archive")" ];then
        echo "[WARN] NOT Fixed"
    fi
    unzip -l $jarpath 2> /dev/null | grep fastjson.*jar | grep -v "Archive" > /tmp/tmp_jarlist
    while read line;
    do
        fastjson_version=$(echo $line|awk -F'/' '{print$NF}')
        if [[ "$fastjson_version" < "$TARGET_VERSION" ]];then
            libjar=$(echo $line|awk '{print$NF}')
            update_jars $jarpath $libjar
            echo "Fixed"
        fi
    done < /tmp/tmp_jarlist
}

function fix_target_jars() {
    if [ ! -f $TARGET_JARS ];then
        echo "run check first."
        exit
    fi

    echo "Fix target jars ..."
    echo
    num=1
    while read jar;
    do
        echo "==== $num ===="
        echo "Backup $jar"
        mkdir -p ${BACKUP_DIR}$(dirname $jar)
        cp -f $jar ${BACKUP_DIR}$(dirname $jar)

        echo "Fix $(basename $jar) ..."
        fix_lib_jars $jar
        echo
        ((num++))
    done < $TARGET_JARS
    echo "Fixed " $(wc -l $TARGET_JARS|awk '{print$1}') " target jars."
    mv -f $TARGET_JARS ${TARGET_JARS}.fixed.$(date +%Y%m%d_%H%M%S)
}

function usage() {
    echo "Version 1.0.0"
    echo "Usage: $0 [check|fix]"
}

function check() {
    check_find_env
    find_all_jars
    find_target_jars
}

function fix() {
    check_fix_env
    fix_target_jars
}


if [ "$1" = "check" ];then
    check
elif [ "$1" = "fix" ];then
    fix
else
    usage
fi

1.3.执行脚本

``

[root@prometheus ~]# chmod +x fastjson_repair.sh 
[root@prometheus ~]# sh fastjson_repair.sh 
Version 1.0.0
Usage: fastjson_repair.sh [check|fix] #check是检查包  fix是对fastjson包进行升级处理
[root@prometheus ~]# sh fastjson_repair.sh check
Finding all jars ...
Find  751  jars.

Finding target jars ...
Find [1] /export/server/icity-client/icity-client-system-1.0.0.jar
Find [2] /export/server/icity-server/icity-server-system-1.0.0.jar
Find  2  target jars.  #发现了两个fastjson版本低于1.28.3版本的包

在这里插入图片描述
执行 ./fast_repaire.sh check脚本如下所示
在这里插入图片描述

vim java微服务包 查看jar中包含的fastjson包,果然低于1.28.3版本
在这里插入图片描述
执行fix命令

2. 手动升级包

有时,java微服务包使用上述脚本无法完成修复,而且研发不能快速配合修复,那么从运维角度出发进行修复

2.1.修复步骤

如下图所示

1、拷贝需要修复的jar包至某一个空目录下

2、执行jar -xf   xxxx.jar 对包进行解压

3、将解压后META-INF目录下的MANIFEST.MF文件 移动到跟META-INF目录平级  mv META-INF/MANIFEST.MF  ../

4、cd BOOT-INF/lib/目录下,将低版本的fastjson包移除,将高版本的包移动到该目录下

5、执行打包命令  jar -cfm0 xxx.jar  /xxx/xxx/MANIFEST.MF *

6、将第5步构建好的包移动到对应的服务目录下,重新启动该服务,观察日志,没有报错;且vim  xxxx.jar 发现fastjson包为替换后的版本的包,则修复成功

在这里插入图片描述
在这里插入图片描述
将上述低版本的fastjson jar包从当前lib目录下删除,将fastjson-1.2.83高版本的包拷贝到lib目录下
在这里插入图片描述
重新执行打包命令构建新的java微服务包
在这里插入图片描述
将上述新构建好的jar包拷贝到原来的位置,并重新启动服务,查看服务日志是否报错,如果没报错,则fastjson漏洞修复完成

2.2.遇到的问题

	在执行java微服务包构建时,遇到了下方的错误
	The calling method's class, org.apache.catalina.authenticator.AuthenticatorBase, was loaded from the following location:

    jar:file:/export/system-server-1.0.0.jar!/BOOT-INF/lib/tomcat-embed-core-9.0.60.jar!/org/apache/catalina/authenticator/AuthenticatorBase.class

The called method's class, javax.servlet.ServletContext, is available from the following locations:

    jar:file:/export/system-server-1.0.0.jar!/BOOT-INF/lib/servlet-api-6.0.53.jar!/javax/servlet/ServletContext.class
    jar:file:/export/system-server-1.0.0.jar!/BOOT-INF/lib/tomcat-embed-core-9.0.60.jar!/javax/servlet/ServletContext.class

The called method's class hierarchy was loaded from the following locations:

    javax.servlet.ServletContext: jar:file:/export/system-server-1.0.0.jar!/BOOT-INF/lib/servlet-api-6.0.53.jar!/

解决方法:
	将BOOT-INF/lib/目录下的servlet-api-6.0.53.jar包替换为一个高版本的包,
	例如servlet-api-7.0.0.jar,然后重新执行上述构建即可解决。
	https://mvnrepository.com/artifact/org.apache.tomcat/tomcat-servlet-api/7.0.0   
	在上述地址可以下载这个包,重命名为对应的名字即可使用

至此,fastjson低版本漏洞修复的两种方法介绍完毕

迷茫运维路
关注
专栏目录
Fastjson 反序列化任意代码执行漏洞修复
bigwood99的博客
07-11 1306
腾讯云主机安全扫描报告,有几台主机存在“Fastjson 反序列化任意代码执行漏洞”。 安全报告漏洞信息如下: CVE编号 pcmgr-345005 披露时间 2022-05-23 漏洞描述:
云匣子 FastJson反序列化RCE漏洞复现
0xSec
11-27 1813
云匣子authService接口处使用存在漏洞fastjson组件,未授权的攻击者可通过fastjson序列化漏洞对云匣子发起攻击获取服务器权限。
fastjson-1.2.24漏洞复现
最新发布
qq_43599126的博客
07-04 1341
看完利用链分析后,我们来总结一下,整体来说就是fastjson是根据@type来进行反序列化类并且没有做任何限制,允许指定@type来反序列化任意类,所以导致了反序列化漏洞
fastJson≤1.2.80漏洞修复
Champion-Dai
06-15 3895
Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化有安全风险的类,在特定条件下这可能导致远程代码执行。高危、任意命令执行。Fastjson ≤1.2.80以下三种修复方案根据业务选择任一合适方案即可:方案一、建议升级到最新版本1.2.83。参考链接:https://github.com/alibaba/fastjson/releases/tag/1.2.83方案二、safeMode加固:Fastjson在1.2.6
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3728
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Fastjson漏洞修复参考
煜铭2011
06-20 7033
Fastjson漏洞修复参考 1. 漏洞背景 ​ Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 Fastjson多处补丁修补出现纰漏,Fastjson在1.2.68版本以下,无需Autotype开启,或者可绕过autoType限制,攻击者即可通过精心构造的请求包在使用Fastjson的服务器上进行远程代码执行。 受影响的版本: fastjson <=1.2.68 fas
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
Fastjson【RCE1.2.47】漏洞复现
02-24 1634
Fastjson漏洞原理和RCE1.2.47漏洞复现
【安全性分析】:FastJson漏洞防护,专家教你避雷
FastJson漏洞概述 FastJson是一个广泛使用的Java库,用于将Java对象转换成JSON格式的字符串,以及将JSON字符串转换成Java对象。然而,正如许多强大的工具一样,FastJson在某些情况下也会成为安全漏洞的来源。本章...
fastjson1.2.67 2020年最新版.rar
03-28
然而,如同任何软件一样,Fastjson也存在安全风险,需要定期更新以修复潜在的漏洞。 2020年,Fastjson发布了1.2.67版本,这是一个重要的安全更新,旨在解决先前版本中的安全问题。这个版本修复了一个高危漏洞,该...
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1381
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
fastjson漏洞复现
m0_56578216的博客
09-08 500
FastJson 是Alibab的一款开源Json 解析库,可用于将Java 对象转换为其Json 表示形式,也可以用于将Json 字符串转换为等效的Java 对象。近几年来FastJson 漏洞层出不穷。关于FasiJson 1.2.24 反序列化漏洞,简单来说,就是FastJson 通过parsebiect/parse 将传入的字符由反广列化为Java 对象时由于没有进行合理检查而导致的。poc中有rmi,它相当于Java的http协议,通过它可以远程执行引用一个外部类。
fastjson框架漏洞复现
没有
10-23 2385
fastjson是阿里巴巴开源的json解析库,通常被用于java object和json字符之间进行转换,提供两个方法json.tojsonstring和json.parseobject/json.parse来分别实现序列化与反序列化。
fastjson 1.28版本以下漏洞修复
enthan809882的博客
06-10 1260
场景 fastjson <=1.2.68 版本有漏洞。 服务器上所有低于此版本的需升级为安全版本。 升级到最新版本1.2.69或者更新的1.2.70版本。 过程 查找文件名包含fastjson的文件 find / -name fastjson* ; # 查找结果为 fastjson-1.2.7 ,ok,我们的版本是正确的,真的是这样嘛? 结果被打脸了。 注意1.2.7和1.2.70是完全不一样的版本。一开始真的以为一样呢,后来去maven官网下载jar包,看到版本列表才发现原来1.2.7是早的版本
Fastjson漏洞复现
weixin_53747497的博客
03-29 2222
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串, 支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法 来 访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
FastJson 漏洞复现
来日可期的博客
09-11 2592
FastJson 1.2.24 反序列化导致任意命令执行漏洞Fastjson 1.2.47 远程命令执行漏洞
Fastjson反序列化漏洞复现
m0_46371267的博客
09-29 1326
Fastjson反序列化漏洞复现
关于Fastjson反序列化远程代码执行漏洞处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-25 1万+
一、风险描述 集团公司近期通知,根据相关安全纰漏,对Fastjson反序列化远程代码执行漏洞提出预警,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响,特要求限期排查整改。 Fastjson是开源JSON解析库,fastjson.jar是阿里开发的一款专门用于Java开发的包,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值