點擊上方“碼農突圍”,馬上關注
這裏是碼農充電第一站,回覆“666”,獲取一份專屬大禮包
真愛,請設置“星標”或點個“在看”
來源 | https://www.anquanke.com/post/id/207029
0x01 漏洞背景
2020年05月28日, 360CERT監測發現業內安全廠商發佈了Fastjson遠程代碼執行漏洞的風險通告,漏洞等級:高危
Fastjson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將Java Bean序列化爲JSON字符串,也可以從JSON字符串反序列化到JavaBean。
Fastjson存在遠程代碼執行漏洞,autotype開關的限制可以被繞過,鏈式的反序列化攻擊者精心構造反序列化利用鏈,最終達成遠程命令執行的後果。此漏洞本身無法繞過Fastjson的黑名單限制,需要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用。
截止到漏洞通告發布,官方還未發佈1.2.69版本,360CERT建議廣大用戶及時關注官方更新通告,做好資產自查,同時根據臨時修復建議進行安全加固,以免遭受黑客攻擊。
0x02 風險等級
360CERT對該漏洞的評定結果如下
評定方式 等級
威脅等級 【高危】
影響面 【廣泛】
0x03 影響版本
Fastjson:<= 1.2.68
0x04 修復建議
臨時修補建議:升級到Fastjson 1.2.68版本,通過配置以下參數開啓 SafeMode 來防護攻擊:ParserConfig.getGlobalInstance().setSafeMode(true);
safeMode會完全禁用autotype,無視白名單,請注意評估對業務影響
0x05 時間線
2020-05-28 360CERT監測到業內安全廠商發佈漏洞通告
2020-05-28 360CERT發佈預警
0x06 參考鏈接
【安全通告】Fastjson <=1.2.68全版本遠程代碼執行漏洞通告:https://cloud.tencent.com/announce/detail/1112
---END---
重磅!魚哥微信好友坑位限時開放啦!
福利來啦!掃碼直接加魚哥微信號,送你一份刷題指南和麪試手冊,不僅可以圍觀魚哥平時所思和覆盤的內容。還可以幫你免費內推大廠,技術交流,一起探索職場突圍,收入突圍,技術突圍。一定要備註:開發方向+地點+學校/公司+暱稱(如Java開發+上海+拼夕夕+猴子)
▲長按加魚哥微信,趕緊上車
推薦閱讀
• CTO:不要在 Java 代碼中寫 set/get 方法了,逮一次罰款***
• 博士補貼75萬,碩士補貼20萬,這個南方城市,高待遇引才150人!
• 現在的學生太厲害了!一位同學冒着掛科的風險給大家寫得 Spring Cloud 入門總結
• 知乎:while (true) 和 for (;;) 哪個更快?
最後推薦一個不錯公衆號,由一羣志同道合的BAT一線碼農業餘創建的,帶你發現Github上好玩有趣的項目,如果你也對GitHub開源項目推薦感興趣,也可以在這個公號後臺留言一起入夥哦!
如有收穫,點個在看,誠摯感謝
