麻了!Fastjson 再曝反序列化漏洞。。

最新推荐文章于 2024-02-05 11:19:23 发布
最新推荐文章于 2024-02-05 11:19:23 发布
阅读量302 收藏
点赞数
文章标签: java 安全 人工智能 编程语言 区块链
原文链接:https://mp.weixin.qq.com/s?__biz=MzI0MjE3OTYwMg==&mid=2649576453&idx=1&sn=6f3f0d03018f3d9f5faf27390b4a792b&chksm=f119bf78c66e366eaa8cf56fd7f3be25f9b6b94df03569ff298412d4f647f91b11dfe528faf1&scene=126&&sessionid=0
版权

上一篇:不卷了!入职字节跳动一周就果断跑了。

来源:© Alibaba Fastjson Develop Team
github.com/alibaba/fastjson/wiki/security_update_20220523

近日 Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,请关注。

1. 风险描述

fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。

建议fastjson用户尽快采取安全措施保障系统安全。

2. 影响版本

特定依赖存在下影响 ≤1.2.80

3. 升级方案

3.1升级到最新版本1.2.8

https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况。

3.2 safeMode加固

fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。

3.2.1 开启方法

参考:

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

3.2.2 使用1.2.83之后的版本是否需要使用safeMode

1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。

3.2.3 开启了safeMode是否需要升级

开启safeMode不受本次漏洞影响,可以不做升级。

3.3 升级到fastjson v2

fastjson v2 地址:

https://github.com/alibaba/fastjson2/releases

fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。

3.4 noneautotype版本

在5月26日后,为了方便使用老版本用户兼容安全加固需求,提供了noneautotype版本,效果和1.2.68的safeMode效果一样,完全禁止autotype功能。

使用noneautotype版本的用户也不受此次漏洞影响。

  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.8_noneautotype/

  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.48_noneautotype/

  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.54_noneautotype/

  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.60_noneautotype/

  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.71_noneautotype/

尽快修复保平安吧!

THE END

热门推荐:
热议!互联网大厂46分钟裁员内部录音曝光!“制定一个完不成的目标”、“明确他是能力不行!”
原来 00 后真的有在整顿职场

阿里第二波裁员进行中,涉及近万人,赔偿N+3;鹅厂近千人被裁......
PS:如果觉得我的分享不错,欢迎大家随手点赞、转发、在看。
xhmj12
关注
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1176
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
2022-10 springboot修复fastjson autoType漏洞
Little Coding Farmer!
10-31 1558
springboot修复fastjson autoType漏洞
安全版本fastjson
karlif的博客
10-27 965
记录一下安全版本fastjson
15-java安全——fastjson反序列化的历史版本绕过(开启AutoType功能)
网络安全
09-03 2724
1.2.24 版本爆出反序列化漏洞之后,fastjson1.2.25之后的版本使用了checkAutoType函数定义黑白名单的方式来防御反序列化漏洞。 com.alibaba.fastjson.parser.ParserConfig类中有一个String[]类型的denyList数组,denyList中定义了反序列化的黑名单的类包名,1.2.25-1.2.41版本中会对以下包名进行过滤 bsh com.mchange com.sun. java.lang.Thread java.net.Sock
Java基础之《fastJson使用》
csj50的专栏
05-21 397
1、String转换为JsonObjectJSONObject resJson = JSONObject.parseObject(response);2、获取嵌套的Json对象JSONObject alipayResponse = resJson.getJSONObject("alipay_trade_precreate_response");3、获取Json对象key对应的valueString...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
Fastjson版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
fastjson1.2.24反序列化RCE
最新发布
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...
canal无法同步数据到es的坑
无名小仙男的博客
03-05 1035
canal
Flume拦截器使用-实现分表、解决零点漂移等
Brother_ning的博客
02-05 1319
使用flume做数据传输时,可能遇到将一个数据流中的多张表分别保存到各自位置的问题,同时由于采集时间和数据实际发生时间存在差异,因此需要根据数据实际发生时间进行分区保存。
fastjson1.2.83反序列化漏洞
Coder的博客
07-13 8017
【代码】fastjson1.2.83反序列化漏洞
Fastjson反序列化远程代码执行漏洞
m0_56033865的博客
06-15 4989
据国家网络与信息安全信息通报中心监测发现,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。先贴一个解决漏洞的方案: 不过任何升级一定会伴随或大或小的bug,一定要对业务的影响做评估。下面对漏洞原理进行介绍: fastjson 是阿里巴巴开发的 java语言编写的高性能 JSON 库,用于将数据在 Json 和 Java Object之间相互转换。它没有用java的序列化机制,而是自
了!Fastjson反序列化漏洞
05-31 254
来源:© Alibaba Fastjson Develop Teamgithub.com/alibaba/fastjson/wiki/security_update_20220523近日 Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,请关注。1. 风险描述fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用...
FastJson存在漏洞,该漏洞影响Fastjson 1.2.60之前所有版本
weixin_39309402的博客
09-11 4659
接到总行通知,FastJson被发现存在远程拒绝服务漏洞,攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击,可导致服务器宕机,目前确认该利用方式影响FastJson <1.2.60 版本。 据悉该漏洞已在2019年9月完成修复,漏洞利用方式已于2019年9月5日开始被公开。由于目前该漏洞的风险等级被定义为“高危”,所以总行给了修复建议: 要求受影响版本升级...
fastJson≤1.2.80漏洞修复
Champion-Dai
06-15 3804
Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化安全风险的类,在特定条件下这可能导致远程代码执行。高危、任意命令执行。Fastjson ≤1.2.80以下三种修复方案根据业务选择任一合适方案即可:方案一、建议升级到最新版本1.2.83。参考链接:https://github.com/alibaba/fastjson/releases/tag/1.2.83方案二、safeMode加固:Fastjson在1.2.6
亲手带你 Debug Fastjson安全漏洞
代码界的扛把子
04-28 2261
简介 Java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjsonfastjson是阿里巴巴一个开源的json相关的java library,地址在这里, https://github.com/alibaba/fastjsonFastjson可以将java的对象转换成json的形式,也可以用来将json转换成java对象,效率较高,被广泛的用在web服务以及android上,它的JSONString()方法可以将java的对象转换成j
fastjson 泛型类反序列化
08-19
fastjson 1.2.24 存在反序列化漏洞,攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson反序列化时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议用户尽快升级 fastjson 版本,或者采取其他安全措施来防范该漏洞的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值