了(le)解最新網絡安全動态及行業資訊
危險等級:高(gāo)
Fastjson <=1.2.68全版本存在遠(yuǎn)程代碼執行漏洞,autotype開關的(de)限制可(kě)被繞過,然後鏈式地反序列化(huà)某些原本不能被反序列化(huà)的(de)有安全風險的(de)類,最終達成遠(yuǎn)程命令執行的(de)後果。
受影(yǐng)響版本:
Fastjson 1.2.68及之前的(de)版本
1、官方補丁
截止公告發布,Fastjson官方暫未發布新版本修複此漏洞,漏洞詳情信息也(yě)未公開。
2、臨時(shí)解決方案
1) 升級Fastjson至1.2.68版本,并配置safeMode。該版本引入了(le)一個(gè)safeMode的(de)配置,配置safeMode後,無論白名單和(hé)黑(hēi)名單,都不支持autoType。
2) 有多(duō)種方式可(kě)以配置safeMode,具體步驟可(kě)參考:
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
3) 推薦采用(yòng)Jackson-databind或者Gson等組件進行替換。
上一篇:沒有了(le)!
下(xià)一篇:漏洞通(tōng)告:Windows SMBv3協議(yì)代碼執行漏洞(CVE-2020-0796)
24小時(shí)免費咨詢
請輸入您的(de)聯系電話(huà),座機請加區(qū)号