漏洞预警|Fastjson远程代码执行高危漏洞

2019-10-09 14:24:29 admin

漏洞背景

近日,HSCERT监测发现Fastjson 存在反序列化远程代码执行漏洞,此漏洞为 17 年 Fastjson 1.2.24 版本反序列化漏洞的延伸利用,危害性较大。

fastjson是一款用Java语言编写的高性能功能完善的JSON库。由于其独特的算法,fastjson的parse速度极快,超越了所有json库,包括曾经号称最快的jackson以及Google的二进制协议protocol buf。



漏洞描述

Fastjson 存在反序列化远程代码执行漏洞,当应用或系统使用 Fastjson 对由用户可控的 JSON 字符串数据进行解析时,将可能导致远程代码执行的危害。

Fastjson在1.2.48版本以下,无需Autotype开启,攻击者即可通过精心构造的请求包在使用Fastjson的服务器上进行远程代码执行。



漏洞危害

高危



影响版本

Fastjson 1.2.48以下版本



安全建议

1.升级Fastjosn到1.2.58版本,并关闭Autotype;

2.WAF拦截Json请求中的多种编码形式的‘@type’,‘\u0040type’等字样;

3.建议尽可能使用Jackson或者Gson。


官方升级方案:

https://github.com/alibaba/fastjson/wiki/update_faq_20190722



参考信息

https://github.com/alibaba/fastjson/wiki/update_faq_20190722

服务热线

17884544032

公司地址

安徽省合肥市蜀山区鑫鹏大厦

作息时间

周一至周五 9:00-18:00