fastjson 被曝存在长途代码履行马脚,等级“高危”

oschina
 oschina
发布于 2020年05月31日
收藏 7

精选30+云产品,助力企业轻松上云!>>>

fastjson 以后版本为 1.2.68 发布于 3 月底,日前某安然运营中间监测到,fastjson <= 1.2.68 版本存在长途代码履行马脚,马脚被应用可直接获得办事器权限。360CERT 将马脚等级定为“高危”。

该长途代码履行马脚道理是,autotype 开关的限制可以被绕过,链式反序列化进击者可以经过过程精心构造反序列化应用链,终究杀青长途敕令履行。此马脚本身没法绕过 fastjson 的黑名单限制,须要合营不在黑名单中的反序列化应用链才能完成完全的马脚应用。

今朝 fastjson 官方还未发布修复版本,应用者可以升级到 fastjson 1.2.68 版本,并经过过程设备 ParserConfig.getGlobalInstance().setSafeMode(true) 参数开启 SafeMode 防护进击,不过须要留意的是 safeMode 会完全禁用 autotype,疏忽白名单,须要评价对营业影响的。

概略可以检查:

本站文章除注明转载外,均为本站原创或编译。迎接任何情势的转载,但请务必注明出处,尊敬他人休息共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://aledoyoga.com]
本文标题:fastjson 被曝存在长途代码履行马脚,等级“高危”
加载中
此消息有 39 条评论,请先登录后再检查。
前往顶部
顶部