【漏洞通告】fastjson<=1.2.62遠程代碼執行漏洞通告
原創 綠盟安全服務部 綠盟科技安全情報 今天
通告編號:NS-2020-0011
2020-02-21
| TAG: | fastjson、Jackson-databind、遠程代碼執行 |
|---|---|
| 危害等級: | 高,攻擊者利用此漏洞,可造成遠程代碼執行。 |
| 應急等級: | 藍色 |
| 版本: | 1.0 |
漏洞概述
2月19日,NVD發佈的Jackson-databind JNDI注入漏洞(CVE-2020-8840),在jackson-databind中的反序列化gadget也同樣影響了fastjson,經綠盟科技研究人員分析驗證,在開啓了autoType功能的情況下(autoType功能默認關閉),該漏洞影響最新的fastjson 1.2.62版本,攻擊者利用該漏洞可實現在目標機器上的遠程代碼執行。
fastjson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將Java Bean序列化爲JSON字符串,也可以從JSON字符串反序列化到JavaBean,由於具有執行效率高的特點,應用範圍廣泛。請相關用戶儘快採取防護措施。
SEE MORE →
2影響範圍
受影響版本
fastjson <= 1.2.62
3漏洞防護
3.1 臨時防護措施
官方暫未發佈針對此漏洞的修復版本,開啓了autoType功能的受影響用戶可通過關閉autoType來規避風險(autoType功能默認關閉),另建議將JDK升級到最新版本。
autoType關閉方法如下:
方法一:
在項目源碼中全文搜索如下代碼,找到並將此行代碼刪除:
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
方法二:
在JVM中啓動項目時,切勿添加以下參數:
-Dfastjson.parser.autoTypeSupport=true
請相關用戶關注官方動態,在官方發佈修復版本後及時升級進行防護。
fastjson配置地址:https://github.com/alibaba/fastjson/wiki/enable_autotype
3.2 產品防護
綠盟科技Web應用防護系統的歷史防護規則(27004852)已具備對此漏洞的防護能力,請相關用戶及時更新WAF產品規則,以確保有效防護。
END
作者:綠盟科技安全服務部
聲明
本安全公告僅用來描述可能存在的安全問題,綠盟科技不爲此安全公告提供任何保證或承諾。由於傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的後果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不爲此承擔任何責任。
綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用於商業目的。
關於綠盟科技
北京神州綠盟信息安全科技股份有限公司 (簡稱綠盟科技)成立於2000年4月,總部位於北京。在國內外設有30多個分支機構,爲政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶,提供具有核心競爭力的安全產品及解決方案,幫助客戶實現業務的安全順暢運行。
基於多年的安全攻防研究,綠盟科技在網絡及終端安全、互聯網基礎安全、合規及安全管理等領域,爲客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠程安全評估以及Web安全防護等產品以及專業安全服務。
北京神州綠盟信息安全科技股份有限公司於2014年1月29日起在深圳證券交易所創業板上市,股票簡稱:綠盟科技,股票代碼:300369
