【風險通告】Fastjson遠程代碼執(zhí)行
2019-07-11 00:00:00
近日,金山云安全應急響應中心收到高危漏洞預警��,F(xiàn)astjson 1.2.48 版本以下存在遠程代碼執(zhí)行漏洞����,金山云安全應急響應中心提醒受該漏洞影響的用戶盡快修復漏洞,避免被利用攻擊��。
漏洞名稱:
Fastjson遠程代碼執(zhí)行
漏洞危害等級:
高危
漏洞描述:
Fastjson是阿里巴巴的開源JSON解析庫����,它可以解析JSON格式的字符串,支持將Java Bean序列化為JSON字符串�,也可以從JSON字符串反序列化到JavaBean。
經(jīng)外界安全研究人員發(fā)現(xiàn)����,F(xiàn)astjson多處補丁修補出現(xiàn)紕漏,F(xiàn)astjson在1.2.48版本以下�����,無需Autotype開啟,攻擊者即可通過精心構造的請求包在使用Fastjson的服務器上進行遠程代碼執(zhí)行����。
影響版本:
Fastjson 1.2.48以下版本
修復方案:
1. 升級Fastjosn到1.2.58版本,并關閉Autotype���;
2. WAF攔截Json請求中的多種編碼形式的‘@type’��,‘\u0040type’等字樣�����;
3. 建議盡可能使用Jackson或者Gson��;
4. 升級JDK版本到8u121����,7u13�,6u141以上�。
參考鏈接:
https://github.com/alibaba/fastjson
北京金山云網(wǎng)絡技術有限公司
2019/07/11