【安全通报】Fastjson发布高危漏洞补丁

近日,Fastjson官方发布了1.2.67版本,修复了之前旧版本存在的autoType黑名单类绕过漏洞,可导致远程攻击者进行RCE攻击。在不久之前,同类产品Fasterxml jackson-databind就曝出过多个黑名单类绕过漏洞,由于在打开AutoType的场景下使用了相同的防御机制(黑名单类),Fastjson也不可避免地受到影响。

22.jpg

Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。 ——ctolib

危害等级

高危

漏洞原理

在Fastjson打开AutoType的场景下(默认情况下不会打开,是基于白名单的防御机制),存在黑名单类被绕过的漏洞,从而使攻击者有可能发起反序列化攻击,实现远程代码执行。

在1.2.66版本中:

33.png

在最新的1.2.67版本中:

44.png

漏洞影响

fastjson =< 1.2.66

CVE编号

暂无

修复建议

目前官方已发表修复补丁,可进入

https://github.com/alibaba/fastjson/releases

页面下载最新版本。

参考

[1] https://mp.weixin.qq.com/s/tmycVNWUXsPc7S-wkT5TrA

[2] http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202003-1151

[3] https://www.ctolib.com/docs-FastJson-c-index.html

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐