Fastjson又被发现漏洞,这次危害可导致服务瘫痪!

最新推荐文章于 2024-05-27 13:02:56 发布
最新推荐文章于 2024-05-27 13:02:56 发布
阅读量834 收藏
点赞数
分类专栏: Java 文章标签: fastjson
原文链接:https://blog.csdn.net/weixin_38405253/article/details/100607927
版权

报告编号:B6-2019-090501
报告来源:360-CERT
报告作者:360-CERT
更新日期:2019-09-05

0x00 漏洞背景

2019年9月5日,fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含x转义字符时可能引发OOM的问题的修复。

360CERT 判断该漏洞危害中。影响面较大。攻击者可以通过发送构造好的请求而致使当前线程瘫痪,当发送的恶意请求过多时有可能使业务直接瘫痪。

建议广大用户对自身的业务/产品进行组件自查,确认fastjson版本至少升级到1.2.60。

0x01 漏洞详情

漏洞的关键点在com.alibaba.fastjson.parser.JSONLexerBase#scanString中,当传入json字符串时,fastjson会按位获取json字符串,当识别到字符串为x为开头时,会默认获取后两位字符,并将后两位字符与x拼接将其变成完整的十六进制字符来处理:

而当json字符串是以x结尾时,由于fastjson并未对其进行校验,将导致其继续尝试获取后两位的字符。也就是说会直接获取到u001A也就是EOF:

Fastjson又被发现漏洞,这次危害可导致服务瘫痪!

当fastjson再次向后进行解析时,会不断重复获取EOF,并将其写到内存中,直到触发oom错误:

Fastjson又被发现漏洞,这次危害可导致服务瘫痪!

最终效果为:

Fastjson又被发现漏洞,这次危害可导致服务瘫痪!

0x02 影响版本
fastjson < 1.2.60版本

拒绝服务安全漏洞涉及之前所有FASTJSON版本,建议升级到最新版本1.2.60。如果遇到不兼容问题,可以使用如下兼容版本:

1.1.15~1.1.31 -> 1.1.31.sec07 这版本不一样是因为1.1.31.sec06发布后,发现1.1.31版本特有一个的问题,又发布了1.1.31.sec07

1.1.32~1.1.33 -> 1.1.33.sec06

1.1.34        -> 1.1.34.sec06

1.1.35~1.1.46 -> 1.1.46.sec06

1.2.3~1.2.7   -> 1.2.7.sec06 因为1.2.7使用最多特别提供,也可以直接使用1.2.8.sec04

1.2.8 -> 1.2.8.sec06

1.2.9~1.2.29 -> 1.2.29.sec06

0x04 时间线

  • 2019-09-03 fastjson提交修补commit

  • 2019-09-05 360CERT发布预警

0x05 参考链接

https://github.com/alibaba/fastjson/commit/995845170527221ca0293cf290e33a7d6cb52bf7
https://github.com/alibaba/fastjson/pull/2692/commits/b44900e5cc2a0212992fd7f8f0b1285ba77bb35d#diff-525484a4286a26dcedd7d6464925426f

王卫东
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fastjson致命缺陷
SpringForAll的博客
10-27 2125
前言 这个周末被几个技术博主的同一篇公众号文章 fastjson又被发现漏洞,这次危害导致服务瘫痪! 刷屏,离之前的漏洞事件没多久,FastJson 又出现严重 Bug。目前项目中不少使用了 FastJson 做对象与JSON数据的转换,又需要更新版本重新部署,可以说是费时费力。与此同时,也带给我新的思考,面对大量功能强大的开源库,我们不能盲目地引入到项目之中,众多开源框架中任一个不稳定因素就足...
FastJson存在漏洞,该漏洞影响Fastjson 1.2.60之前所有版本
weixin_39309402的博客
09-11 4645
接到总行通知,FastJson发现存在远程拒绝服务漏洞,攻击者即可通过精心构造的请求包对使用Fastjson服务器造成远程拒绝服务攻击,可导致服务器宕机,目前确认该利用方式影响FastJson <1.2.60 版本。 据悉该漏洞已在2019年9月完成修复,漏洞利用方式已于2019年9月5日开始被公开。由于目前该漏洞的风险等级被定义为“高危”,所以总行给了修复建议: 要求受影响版本升级...
Fastjson已进入公司黑名单组件库,新项目不准使用~
最新发布
qq_14958051的博客
05-27 38
这个略显马丽苏的标题,各位看官将就着看吧。主要是怕被喷。fastjson真的很好,我用不用我喜不喜欢的,太不重要了,我只是觉得不适合我而已。话说以前GSON用得好好的,同事极力推荐我使用Fastjson,说很快云云。尽管我们的系统根本感知不出来这点速度差异。之前也听说Fastjson爆出来什么重大漏洞,但对我们基本没什么影响,所以这一点倒是没什么偏见。然后在一个新项目上,脑抽抽,把gson换成了f...
坑爹fastjson又成黑洞!这次危害导致服务瘫痪
xmt1139057136的专栏
12-11 477
Struts2 是业界有名的漏洞之王,Fastjson 近来也不甘示弱,连续被爆出了非常多的漏洞,吓的像我这样的老程序员都不敢使用了!拼实力坑爹,Fastjson 当仁不让!0x00 漏...
告急!fastjson又被发现漏洞,这次危害导致服务瘫痪
这个时代,作为程序员可能要学习小程序
09-07 633
点击上方的终端研发部,右上角选择“设为星标”每日早9点半,技术文章准时送上公众号后台回复“学习”,获取作者独家秘制精品资料往期文章初探:Java虚拟机那点破事老板:请将你...
高危!Fastjson反序列化漏洞风险
s_156的博客
06-01 642
FastJson反序列化漏洞
Fastjson反序列化漏洞风险
詹Sir的博客
05-30 279
这样的场景你是不是很熟悉?客户让你做一个软件,你需要他给你写出需求,当他给你写出需求后,在你认为时间非常紧的情况下,你辛辛苦苦,加班加点,费劲九牛二虎之力,最后赶在最后时刻给客户提交了,你满怀希望等待客户给你的表扬,你万分坚信领导对你的辛苦会给予高度认可和鼓励,你觉得很快就要戴一朵“小红花”时,最后你得到的是绵绵无绝期的等待,甚至是客户的不满意,这是为什么呢?这种情况在我的团队里也会出现,有时候我让改一个东西,经常得到的回复就是:”客户就是这么要求的,而且描述很清晰,不能改!”, 最后如果不改的结果就是客
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 2473
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
关于Java组件fastjson存在反序列化漏洞
lujiawei00的专栏
08-25 1516
据国家网络与信息安全信息通报中心监测发现,阿里巴巴公司开源Java开发组件fastjson存在反序列化漏洞fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。此次事件影响fastjson1. 2. 80及之前所有版本。
fastjson又被发现漏洞,这次危害导致服务瘫痪
朱小厮的博客
09-07 303
点击上方“朱小厮的博客”,选择“设为星标”回复”1024“获取独家整理的学习资料来源:https://tinyurl.com/y53yanrw0x00 漏洞背景2019年...
解决fastjson循环引用问题(死循环)
是夜色太荒芜的专栏
06-17 6211
在双向映射的一方向中添加“@JSONField(serialize=false)”。@JSONField(serialize = false) public java.util.Set<CmsDocReceiveFile> getCmsDocReceiveFiles() { return cmsDocReceiveFiles; }
FastJson-安全
xlsj雪松的博客
01-03 4204
1 FastJson介绍 FastJson的主要功能就是将Java对象序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。把一个Java对象转换成字符串,有两种选择: 1)基于属性 fastjson引入了AutoType,即在序列化的时候使用@type字段,标注了类对应的原始类型,方便在反序列化的时候定位到具体类型。 2)基于setter/getter 当我们要对他进行序列化的时候,fastjson会扫描其中的getter方法,即找到getName和getFrui
fastjson漏洞合集以及是否使用组件判断
weixin_46626737的博客
08-11 666
3>使用marshalsec-0.0.3-SNAPSHOT-all.jar开启一个rmi或者ladp服务。则会发现rmi服务会有回显,而且shell会反弹回来。6>则会发现rmi服务会有回显,而且shell会反弹回来。(3)通过dnslog来判断是否使用了fastjson。2>将class文件放到http服务目录下。(2)查看其fastjson的版本。(1)漏洞版本:1.2.24之前。(1)漏洞版本:1.2.48以前。2)开启监听2233端口。1)写一个java文件。3)开启一个rmi服务
发现fastjson 2.0.32 版本的一个bug---数据转换错误
yang11qiang的博客
05-09 1068
最近参与一个新的项目,测试同事发现一个数据不对,数据库的数据明明是,但是界面显示的却是,这个差距太大了吧。。。一路跟踪代码没有发现任何问题,最后debug发现,jsonObject.toJavaObject(XX.class) 这行代码之后数据就不对了,不会吧,又是fastjson的bug?之前已经遇到一次,数据量太大,fastjson报空指针的问题(版本升级解决),现在又遇到,,,,老司机第一反应就是,小数嘛,是不是精度问题,但是和。
Fastjson漏洞
qq_50854662的博客
10-09 5381
Fastjson漏洞
fastjson到底做错了什么?为什么会被频繁爆出漏洞
热门推荐
HollisChuang's Blog
07-06 2万+
GitHub 15.8k Star 的Java工程师成神之路,不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的真的不来了解一下吗! fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。 前段时间,fastjson被爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。 但是作为一个开发者,我更关注的
安全 fastjson_这些FastJson漏洞已经人尽皆知的事情(安全角度)
weixin_42393650的博客
01-14 942
一个阳光灿烂的冬日清晨,我一如既往地躲在被窝里刷着手机。突然,有一篇公众号头条的一篇文章吸引了我:那些FastJson漏洞不为人知的事情(开发角度)哇塞,这标题,一看就是大佬的力作!但是看着看着,这文章感觉不对啊,当中的许多观点都是“颠覆性的创新”,完全改变了我对fastjson漏洞的认知!难道我之前学的都是错的?所以抱着大胆假设,小心求证的科(杠)学(精)精神,对该文中的一些观点进行...
fastjson反序列化漏洞危害
04-05
fastjson反序列化漏洞危害主要包括以下几点: 1. 远程代码执行:攻击者可以通过构造恶意的序列化数据,利用fastjson反序列化漏洞触发远程代码执行,从而控制目标系统,执行任意命令,造成严重的安全威胁。 2. 数据泄露:攻击者可以通过fastjson反序列化漏洞读取目标系统敏感数据,如用户密码、数据库连接信息等,造成数据泄露的风险。 3. 拒绝服务攻击:攻击者可以利用fastjson反序列化漏洞构造大量的恶意序列化数据,导致目标系统崩溃或资源耗尽,从而造成拒绝服务攻击。 4. 提权攻击:如果目标系统中存在漏洞,攻击者可以通过fastjson反序列化漏洞获取系统权限,从而进行提权攻击,控制整个系统。 综上所述,fastjson反序列化漏洞危害非常严重,需要及时修补漏洞,加强安全防护措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值