fastjson 发布关于“反序列化长途代码履行马脚”的安然告诉布告

oschina
 oschina
发布于 2020年06月01日
收藏 10

精选30+云产品,助力企业轻松上云!>>>

昨天我们报导了 fastjson 补曝出存在高危长途代码履行马脚,明天 fastjson 官方发布了安然告诉布告:

https://github.com/alibaba/fastjson/wiki/security_update_20200601

以下为完全告诉布告援用:

安然告诉布告20200601

近日,阿里云应急照应中间监测到fastjson迸发新的反序列化长途代码履行马脚,黑客应用马脚,可绕过autoType限制,直接长途履行随便任性敕令进击办事器,风险极大年夜。

马脚描述

fastjson采取诟谇名单的办法来进攻反序列化马脚,招致当黑客赓续发掘新的反序列化Gadgets类时,在autoType封闭的情况下依然能够可以绕过诟谇名单进攻机制,形生长途敕令履行马脚。经研究,该马脚应用门槛较低,可绕过autoType限制,风险影响较大年夜。阿里云应急照应中间提示fastjson用户尽快采取安然办法阻拦马脚进击。

影响版本

  • fastjson <=1.2.68
  • fastjson sec版本 <= sec9
  • android版本不受此马脚影响

升级筹划

升级到最新版本1.2.69或许更新的1.2.70版本。

假设碰到兼容成绩,原地升级sec10版本。

假设还碰到其他兼容成绩,这里有更多的sec10版本 https://repo1.maven.org/maven2/com/alibaba/fastjson/

fastjson加固

fastjson在1.2.68及以后的版本中引入了safeMode,设备safeMode后,不管白名单和黑名单,都不支撑autoType,可必定程度上减缓反序列化Gadgets类变种进击(封闭autoType留意评价对营业的影响)

如有须要修改本注脚,请接洽阿里巴巴,

© Alibaba Fastjson Develop Team

注明: 版权一切阿里巴巴,请注明版权一切者

If you need to amend this footnote, please contact Alibaba.

© Alibaba Fastjson Develop Team

Note: Copyright Alibaba, please indicate the copyright owner

本站文章除注明转载外,均为本站原创或编译。迎接任何情势的转载,但请务必注明出处,尊敬他人休息共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://aledoyoga.com]
本文标题:fastjson 发布关于“反序列化长途代码履行马脚”的安然告诉布告
加载中
此消息有 45 条评论,请先登录后再检查。
前往顶部
顶部