近日,奇安信CERT监测到fastjson官方发布新版本,修补了一个反序列化远程代码执行漏洞。远程攻击者可利用该漏洞绕过autoType限制,进而可在目标服务器上执行任意命令。鉴于该漏洞影响较大,建议客户尽快自查修复。

奇安信 CERT漏洞描述

fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程代码执行漏洞。

风险等级

奇安信 CERT风险评级为:高危

风险等级:蓝色(一般事件)

影响范围

fastjson < 1.2.69

fastjson sec版本 < sec10

处置建议

1、升级至安全版本

较低版本升级至最新版本1.2.69可能会出现兼容性问题,建议升级至特定版本的sec10 bugfix版本,请参考以下链接尽快修复:

https://repo1.maven.org/maven2/com/alibaba/fastjson/

2、开启SafeMode

若无法立即升级版本,可通过开启SafeMode来缓解此漏洞。fastjson在1.2.68及之后的版本中引入了SafeMode,配置SafeMode后,无论白名单和黑名单,都不支持autoType,可一定程度上缓解反序列化Gadgets类变种攻击。

以下为配置SafeMode的三种方式:

(1)在代码中配置

ParserConfig.getGlobalInstance().setSafeMode(true);

(2)加上JVM启动参数

-Dfastjson.parser.safeMode=true

如果有多个包名前缀,用逗号隔开

(3)通过fastjson.properties文件配置

通过类路径的fastjson.properties文件来配置,配置方式如下:

fastjson.parser.safeMode=true

参考链接如下:

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

产品线解决方案

安信天眼检测方案:

奇安信天眼新一代威胁感知系统已经在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0601.11943及以上版本。规则名称:Fastjson反序列化漏洞攻击(通用),规则ID:0x10020857。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。

参考资料

https://repo1.maven.org/maven2/com/alibaba/fastjson/

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

时间线2020年6月1日,奇安信 CERT发布安全风险通告奇安信 CERT

奇安信CERT致力于

第一时间为企业级客户提供

安全风险通告和有效的解决方案

fastjson反序列化漏洞_【安全风险通告】fastjson反序列化远程代码执行漏洞安全风险通告...相关推荐

  1. wordpress php执行短代码_【漏洞通告】PHP远程代码执行漏洞(CVE-2019-11043)

    1.综述2019年9月14日至18举办的 Real World CTF中,国外安全研究员 Andrew Danau 在解决一道CTF题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常 ...

  2. 【安全风险通告】Spring Framework远程代码执行漏洞(CVE-2022-22965)安全风险通告第二次更新...

    奇安信CERT 致力于第一时间为企业级用户提供安全风险通告和有效解决方案. 安全通告 近日,奇安信CERT监测到Spring Framework存在远程代码执行漏洞(CVE-2022-22965),在 ...

  3. js word 预览_微软补丁日:Word/DHCP/LNK远程代码执行漏洞预警

    漏洞背景 2019年8月14日微软发布的安全更新中除了RDP漏洞还涵盖了针对多个远程代码执行高危漏洞的修复. Microsoft Word远程代码执行漏洞, 漏洞编号CVE-2019-0585. Wi ...

  4. 服务器2008操作系统漏洞,【操作系统安全漏洞 】解决CVE-2017-11780:Microsoft Windows SMB Server远程代码执行漏洞...

    一.漏洞描述 2017年10月10日,微软漏洞补丁日修复了多个安全漏洞,其中一个为Microsoft WindowsSMB Server远程执行代码漏洞,根据官方描述该漏洞如果被成功利用,远程攻击者可 ...

  5. cve-2019-1821 思科 Cisco Prime 企业局域网管理器 远程代码执行 漏洞分析

    前言 不是所有目录遍历漏洞危害都相同,取决于遍历的用法以及用户交互程度.正如你将看到,本文的这个漏洞类在代码中非常难发现,但可以造成巨大的影响. 这个漏洞存在于思科Prime Infrastructu ...

  6. 快速修复 Log4j2 远程代码执行漏洞步骤

    点击关注公众号,实用技术文章及时了解 来源:blog.csdn.net/weixin_48990070/ article/details/121861553 目录 漏洞说明 修复步骤 下载源码zip包 ...

  7. CVE-2022-21907 Microsoft Windows HTTP 协议栈远程代码执行漏洞复现

    目录 0x01 声明: 0x02 简介: 0x03 漏洞概述: 0x04 影响版本: 0x05 环境搭建: 下载: 开启IIS: 0x06 漏洞复现: 利用POC: 0x07 流量分析: 客户端: 0 ...

  8. 【安全要闻】PHP多个远程代码执行漏洞风险预警

    目录 一.漏洞概述 CVE-2022-31625 CVE-2022-31626 二.漏洞等级 三.漏洞影响 四.漏洞分析 五.修复建议 一.漏洞概述 5月16日,PHP官方收到了一份报告,报告中提出关 ...

  9. CVE-2018-8174 IE浏览器远程代码执行漏洞

    0x00漏洞简介 在2018年5月9日的时候360发表了一份apt攻击分析及溯源报告 文中提到了cve-2018-8174这个漏洞的首次在apt方面的应用 原文地址:http://www.4hou.c ...

最新文章

  1. JVM内存参数详解以及配置调优
  2. PHP中的PHP_EOL变量
  3. 怎么确保网站的可用性
  4. window连接不上ssdb的问题
  5. pyecharts 间距_高月双色球20108期:红球首尾间距参考29区段
  6. Android下基于UVC的UsbCam的开发
  7. NWT失败反省:做视频的多了,汝眼里怎么只有腾讯
  8. RHCSA红帽认证考试题库--上午考试题
  9. 中国的量子软件无法再次失去三十年
  10. android手机壁纸尺寸,安卓手机壁纸尺寸选择攻略:屏幕分辨率≠壁纸分辨率
  11. 如何在工具类中注入Service
  12. 【实战应用】后端返回支付宝HTML,如何使用.H5端调用支付宝支付
  13. 阿里云产品之数据中台架构
  14. Excel作图-子母饼图绘制
  15. li序号 ul_ul ol li的数字序号编号样式
  16. 一、对文本文件进行数据粒度转换,即将文本文件personnel_data.txt中字段household_register的数据统一成省份,并且输出到文本文档personnel_data_new.tx
  17. kylin2.1.0 + CHD5.7环境搭建
  18. javascript 递归乘阶
  19. u盘和计算机无法连接不上,U盘连接不上电脑怎么办
  20. FINN(二)CNN,BNN及其硬件实现的背景知识

热门文章

  1. conda移植环境到另一台电脑
  2. 阿里云安装单机hbase
  3. LCFinder 0.3.0 Beta 发布,图像标注与目标检测工具
  4. MongoDB 资源、库、工具、应用程序精选列表中文版
  5. 实现python扩展的C API方法过程全纪录(windows)
  6. mysqldump备份还原
  7. Classifier4J的中文支持
  8. 删除 setup.py 安装的 Python 软件包
  9. javascript !-- //-- 与老的浏览器打交道
  10. 深入理解JVM的内存区域划分