Fastjson反序列化远程代码执行漏洞

原创 已于 2022-05-24 11:05:15 修改 · 803 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #java #开发语言

于 2022-05-24 11:01:13 首次发布
绿盟科技发现Fastjson 1.2.80以下版本存在反序列化漏洞,可执行代码。建议升级至1.2.83并启用safeMode以防止攻击。解决方案包括备份、升级、配置safeMode和检查autoType使用情况。

5月23日,绿盟科技CERT监测到Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。

参考链接:https://github.com/alibaba/fastjson/wiki/security_update_20220523

影响范围

受影响版本

Fastjson ≤ 1.2.80

解决方案

  1. 升级到最新版本1.2.83

    下载链接:https://github.com/alibaba/fastjson/releases

    升级步骤如下:

    1.备份原fastjson依赖库,避免升级失败的情况发生。

    2.将低版本的fastjson库替换为1.2.83版本即可

    开发人员可通过配置Maven的方式对应用进行升级并编译发布,配置如下:

    <dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.83</version>
</dependency>

  2. safeMode加固

    fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,完全禁用autoType。无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击

    参考链接:https://github.com/alibaba/fastjson/wiki/fastjson_safemode

    三种配置SafeMode的方式如下:

    1. 在代码中配置

      ParserConfig.getGlobalInstance().setSafeMode(true);

    2. 加上JVM启动参数

       -Dfastjson.parser.safeMode=true

    3. 通过fastjson.properties文件配置

      通过类路径的fastjson.properties文件来配置,配置方式如下:

      fastjson.parser.safeMode=true

  3. 怎么判断是否用到了autoType

    看序列化的代码中是否用到了SerializerFeature.WriteClassName

    JSON.toJSONString(obj, SerializerFeature.WriteClassName); // 这种使用会产生@type
Fastjson反序列化远程代码执行漏洞及其风险分析
SaRust的博客
09-18 376
漏洞的原理是在Fastjson反序列化过程中,攻击者可以构造一个特制的JSON字符串,其中包含恶意代码。通过更新Fastjson版本、实施输入验证和过滤、限制反序列化范围、应用程序隔离以及实施安全审计和监测,DevOps团队可以降低潜在攻击的风险,并确保应用程序的安全性。可以使用Fastjson提供的配置选项来限制反序列化的范围,仅允许信任的类进行反序列化。更新Fastjson版本:Fastjson团队已经修复了许多安全漏洞,因此确保使用最新版本的Fastjson库以减少风险。字段指定了一个恶意类。
Fastjson 远程命令执⾏漏洞
时光凉春衫薄的博客
01-06 2269
什么是 Fastjson Fastjson 是阿⾥开发的⼀款专门⽤于Java开发的包,可以⽅便的实现 json 对象与 JavaBean 对象的转换,JavaBean 对象与 json 字 符串的转换, json 对象与 json 字符串的转换。 API 使⽤ //序列化 String text = JSON.toJSONString(obj); //反序列化 VO vo = JSON.parse(); //解析为JSONObject类型或者JSONArray类型 VO vo = JSON.pars
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
FastJson远程命令执行漏洞
PassionNingG的博客
09-03 1580
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。文章内容多来于如有侵权立删。# FastJson远程命令执行漏洞学习笔记fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。
fastjson远程代码执行漏洞
网安君的博客
03-29 5960
Fastjson 1.2.24 远程代码执行漏洞 漏洞说明 FastJson库是Java的一个Json库,其作用是将Java对象转换成json数据来表示,也可以将json数据转换成Java对象。在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 前提条件 开启autotype 影响范围 fastjson 1.2.22-1.2.24 jdk 1.7,1.8版本 漏洞复现 由于Fastj
关于Fastjson反序列化远程代码执行漏洞处理
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
05-25 1万+
一、风险描述 集团公司近期通知,根据相关安全纰漏,对Fastjson反序列化远程代码执行漏洞提出预警,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响,特要求限期排查整改。 Fastjson是开源JSON解析库,fastjson.jar是阿里开发的一款专门用于Java开发的包,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序
预警事项:Fastjson反序列化远程代码执行漏洞风险预警
05-24
阿里巴巴发布关于Fastjson安全公告,在1.2.80及以下版本中存在反序列化风险。Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean...攻击者利用该漏洞可实现在目标机器上的远程代码执行
精选资源
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
Fastjson反序列化远程代码执行漏洞(CNVD-2020-30827)漏洞复现
最新发布
12-28
### 复现 FastJSON 反序列化远程代码执行漏洞 CNVD-2020-30827 #### 准备工作 为了复现此漏洞,需准备以下条件: - 使用受影响版本的 FastJSON 库(),因为这些版本存在反序列化过程中处理 `@type` 字段的安全...
FastJson反序列化远程命令执行漏洞分析
moshao123的博客
03-17 973
FastJson反序列化漏洞分析 文章目录FastJson反序列化漏洞分析前言一、Fastjson的介绍二、简单使用1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
Boom!脑洞大爆炸的博客
07-07 1616
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
Java - Fastjson之RCE攻击模拟(远程代码执行漏洞
Zong_0915的博客
12-03 1902
Java - Fastjson之RCE问题分析及攻击模拟(远程代码执行漏洞Fastjson出现RCE问题的必要前提分析 首先,本文的Fastjson相关的RCE问题,针对于版本在1.2.24以下的。 Fastjson出现RCE问题的必要前提分析
fastjson远程代码执行漏洞问题分析
lucasma的博客
03-01 5485
背景 fastjson远程代码执行安全漏洞(以下简称RCE漏洞),最早是官方在2017年3月份发出的声明, security_update_20170315 没错,强如阿里这样的公司也会有漏洞。代码是人写的,有漏洞是难免的。关键是及时的修复。 声明中,官方指出: 最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29...
世平信息关于Fastjson反序列化远程命令执行漏洞的预警
shipinginfo的博客
07-18 815
声明:本文关于详细升级方法部分引用至 GitHub 查看原文链接:http://suo.im/4DzZ0M 背景介绍 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库。采用独创的算 法,将 parse 的速度提升到极致,超过所有 json 库,包括曾经号称最快的 jackson。并且还超越了 google 的二进制协议 protocol buf。 1.1 漏洞描...
Fastjson 反序列化漏洞
Cover-3321的博客
01-09 7073
fastjson在解析json(反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。黑客通过查找代码中的get方法,来远程加载恶意命令,即造成反序列化漏洞
[转载] --- Fastjson1.2.68版及以下全版本远程代码执行漏洞通告
zhangsir的博客
06-29 8883
安全通告】Fastjson <=1.2.68全版本远程代码执行漏洞通告 尊敬的腾讯云用户,您好!近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68版本存在远程代码执行漏洞漏洞被利用可直接获取服务器权限。为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,...
fastjson反序列化漏洞
qq_73792226的博客
08-15 1113
Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库,广泛应用于Web开发、数据交换等领域。然而,由于Fastjson在解析JSON数据时存在安全漏洞,攻击者可以利用该漏洞执行任意代码,导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题,需要引起足够的重视。开发者应该及时关注安全公告,升级Fastjson版本,并加强输入验证和安全管理。同时,用户也应关注系统安全,定期进行安全审计和监控,以确保系统的安全性。
Fastjson反序列化漏洞
热门推荐
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小云很优秀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值