Fastjson 又被发现漏洞,这次危害可导致服务瘫痪!

最新推荐文章于 2025-11-05 10:04:49 发布
转载 最新推荐文章于 2025-11-05 10:04:49 发布 · 280 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.iocoder.cn/zhishixingqiu/?vip\x26amp;amp;mp

点击上方“芋道源码”,选择“设为星标

做积极的人,而不是积极废人!

源码精品专栏

 

来源:http://rrd.me/erdRQ

  • 0x00 漏洞背景

  • 0x01 漏洞详情

  • 0x02 影响版本

  • 0x03 修复建议

  • 0x04 时间线

  • 0x05 参考链接

报告编号:B6-2019-090501
报告来源:360-CERT
报告作者:360-CERT
更新日期:2019-09-05

0x00 漏洞背景

2019年9月5日,fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。

360CERT 判断该漏洞危害中。影响面较大。攻击者可以通过发送构造好的请求而致使当前线程瘫痪,当发送的恶意请求过多时有可能使业务直接瘫痪。

建议广大用户对自身的业务/产品进行组件自查,确认fastjson版本至少升级到1.2.60。

0x01 漏洞详情

漏洞的关键点在com.alibaba.fastjson.parser.JSONLexerBase#scanString中,当传入json字符串时,fastjson会按位获取json字符串,当识别到字符串为\x为开头时,会默认获取后两位字符,并将后两位字符与\x拼接将其变成完整的十六进制字符来处理:

而当json字符串是以\x结尾时,由于fastjson并未对其进行校验,将导致其继续尝试获取后两位的字符。也就是说会直接获取到\u001A也就是EOF:

当fastjson再次向后进行解析时,会不断重复获取EOF,并将其写到内存中,直到触发oom错误:

最终效果为:

0x02 影响版本

fastjson < 1.2.60版本

0x03 修复建议

  • 1.1.15~1.1.31版本更新到1.1.31.sec07版本

  • 1.1.32~1.1.33版本更新到1.1.33.sec06版本

  • 1.1.34 版本更新到1.1.34.sec06版本

  • 1.1.35~1.1.46版本更新到1.1.46.sec06版本

  • 1.2.3~1.2.7版本更新到1.2.7.sec06版本或1.2.8.sec04版本

  • 1.2.8 版本更新到1.2.8.sec06版本

  • 1.2.9~1.2.29 版本更新到1.2.29.sec06版本

0x04 时间线

  • 2019-09-03 fastjson提交修补commit

  • 2019-09-05 360CERT发布预警

0x05 参考链接

  • https://github.com/alibaba/fastjson/commit/995845170527221ca0293cf290e33a7d6cb52bf7

  • https://github.com/alibaba/fastjson/pull/2692/commits/b44900e5cc2a0212992fd7f8f0b1285ba77bb35d#diff-525484a4286a26dcedd7d6464925426f

唠嗑下:

Fastjson 存在安全漏洞,并不意味着它就差。事实上,强如 Jackson 等等,今年也被爆出有安全漏洞。

我们在使用开源库时,一定要关注库的更新,特别是安全方面的。那么问题就来了,你更新了吗?嘿嘿~

欢迎加入我的知识星球,一起探讨架构,交流源码。加入方式,长按下方二维码噢

已在知识星球更新源码解析如下:


如果你喜欢这篇文章,喜欢,转发。

生活很美好,明天见(。・ω・。)ノ♡

在CentOS7上安装RocketMQ 4.7.1解决fastjson低版本漏洞问题
锐意工作室
08-25 3220
文章目录在CentOS7上安装RocketMQ 4.7.1前言安装过程下载和解压RocketMQ调低RocketMQ的JVM大小bin/runserver.shbin/runserver.shbin/tools.sh启动Name Server启动Broker查看RocketMQ进程测试发送消息和接收消息关闭Broker关闭Name Server修改Name Server的端口安装RocketMQ控制台Troubleshooting参考文档 在CentOS7上安装RocketMQ 4.7.1 前言 阿里的fa
Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响
OSCS开源安全社区
05-24 2614
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。OSCS开源软件社区对此漏洞进行收录,漏洞信息如下: 漏洞评级:严重 影响组件:com.alibaba:fastjson 影响版本:<= 1.2.80 更多漏洞详细信息可进入OSCS社区查看:https://www.oscs1024.com/hd/MPS-2022-11320
芋道源码:企业级Spring Boot应用开发框架全解析
最新发布
gitblog_00958的博客
11-05 418
### 1.1 框架核心价值与应用场景 ???? **核心价值**:芋道源码作为一款企业级Spring Boot应用框架,通过模块化设计实现业务逻辑与技术架构的解耦,提供了从数据权限控制到工作流引擎的完整解决方案。其分层架构设计既满足了大型项目的扩展性需求,又保证了中小项目的快速开发能力。 ???? **技术选型理由**:采用"框架+业务模块"的目录结构设计,既符合DDD领域驱动设计思想,又通过Mave...
Fastjson官方再次披露高危漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响
murphysec的博客
05-23 3161
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,可能会导致远程服务器被攻击,风险影响较大。建议使用了 fastjson 的用户尽快采取安全措施保障系统安全。 Fastjson 是Java语言实现的快速JSON解析和生成器。 fastjson 使用黑白名单用于防御反序列化漏洞1.2.80及以下版本在特定条件下可绕过默认autoType关闭限制,攻击远程服务器。 攻击者可利用该漏洞远程执行恶意代码。 漏洞评级:严重
fastjson用法及其相关解答
kluing的专栏
11-10 3040
1. 怎么获得fastjson? 你可以通过如下地方下载fastjson: maven中央仓库: http://central.maven.org/maven2/com/alibaba/fastjson/ Sourceforge.net : https://sourceforge.net/projects/fastjson/files/ 在maven中如何配置fastjson
warning!warning!warning!Fastjson 最新高危漏洞又来了
文章中资料均可获取,有需要请添加yunduoa2019即可
07-08 349
推荐阅读:面试,JVM总挂?阿里架构大牛:争气点,“路”都给你指出来了 为了阿里巴巴的P7offer,我筹备了半年,四面之后终于成功拿下 为面阿里P8,我肝了一份651个技术分支的脑图,要么?(限时领) 来源 | https://www.anquanke.com/post/id/207029 0x01 漏洞背景 2020年05月28日, 360CERT监测发现业内安全厂商发布了Fastjson远程代码执行漏洞的风险通告,漏...
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
360CERT 判断该漏洞危害中。影响面较大。攻击者可以通过发送构造好的请求而致使当前线程瘫痪,当发送的恶意请求过多时有可能使业务直接瘫痪。 建议广大用户对自身的业务/产品进行组件自查,防止自身业务受到攻击。
精选资源
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
一旦发现Fastjson的RCE漏洞被利用,应立即隔离受影响的系统,并尽快打上补丁。 总的来说,Fastjson的RCE漏洞是Java开发者和系统管理员必须关注的重要安全问题。通过深入理解漏洞原理,采取合适的预防措施,可以大大...
记一次 fastjson 坑爹 BUG 带来的服务瘫痪...
xingduan5153的博客
02-03 802
欢迎关注专栏:Java架构技术进阶。里面有大量batj面试题集锦,还有各种技术分享,如有好文章也欢迎投稿哦。 0x00 漏洞背景 2019年9月5日,fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较大...
Fastjson致命缺陷
SpringForAll的博客
10-27 2329
前言 这个周末被几个技术博主的同一篇公众号文章 fastjson又被发现漏洞,这次危害导致服务瘫痪! 刷屏,离之前的漏洞事件没多久,FastJson 又出现严重 Bug。目前项目中不少使用了 FastJson 做对象与JSON数据的转换,又需要更新版本重新部署,可以说是费时费力。与此同时,也带给我新的思考,面对大量功能强大的开源库,我们不能盲目地引入到项目之中,众多开源框架中任一个不稳定因素就足...
分析FastJson 的最近爆出OOM内存溢出 bug
热门推荐
徐小冠
09-08 1万+
最近接到通知,需要进行升级 (阿里)fastjson 的maven 版本号, 最升级到指定的版本,需要测试发布再次验证 ,啊周末需要加班了. 为什么要进行升级呢,一接到这个通知,我就考虑中,以前是有通知了 不过没有这么急啊,后来其他事情耽搁了,就没有改. 之前一直网络上报出的问题是这样的: fastjson出现高危远程代码执行漏洞,该漏洞fastjson2017年爆出的远程...
RocketMQ-4.2.0
12-26
阿里巴巴的消息中间件,已完成编译可以直接部署使用。
你看,Fastjson 漏洞也太多了吧。。
weixin_44421461的博客
11-24 369
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细...
坑爹fastjson又爆漏洞!这次危害导致服务瘫痪!,特别是Android不要再用了
Java和Android架构
09-08 750
热文导读|点击标题阅读连色情网站都不敢碰的AI禁区,ZAO正在疯狂试探0x00 漏洞背景2019年9月5日,fastjson在commit 995845170527...
fastjson版本_Fastjson 被曝出“高危”远程代码执行漏洞
weixin_39915815的博客
11-24 184
5 月 28 日,360 网络安全响应中心(360-CERT)发布“Fastjson 远程代码执行漏洞通告”。通告称, Java 库 fastjson <= 1.2.68 版本存在远程代码执行漏洞漏洞被利用可直接获取服务器权限。360 网络安全响应中心评定其为“高危漏洞”,影响面“广泛”。据悉,该漏洞的影响版本为 fastjson <=1.2.68 和 fastjson sec 版本...
fastjson线上排坑记
掌控之中,才会成功;掌控之外,注定失败。
11-02 611
前言 版本上线时发现fastjson的toString方法的返回的字符串与与之前版本的toString方法返回的字符串不相同,这导致依赖toString进行md5计算所得到的结果不相同,更进一步导致其他依赖该md5值的插件发现和之前的md5值不相等而重启,导致数据存在丢失情况。 源码 从项目中抽取出该模块代码,并进行了适当修改,但未改变整个处理逻辑,源码如下。package main; im
fastjson又被发现漏洞,这次危害导致服务瘫痪
朱小厮的博客
09-07 467
点击上方“朱小厮的博客”,选择“设为星标”回复”1024“获取独家整理的学习资料来源:https://tinyurl.com/y53yanrw0x00 漏洞背景2019年...
rce漏洞分析
若有战,召必回
10-28 1458
通过这个代码可以分析出是执行了数据库查询的语句,但是这里也不可能发生sql注入,应为where语句中的参数采用了数组的传递方式,可以有效的避免sql注入漏洞,因为通过数组传递的参数会经过addslashes和htmlspecialchars的过滤。前几日在浏览github项目时,发现之前审计过的一个cms更新了,从日志中看到修复了一个安全漏洞,由于源码是开源的,所以可以根据版本对比找到修补的地方,进而发现其修复的地方。在上面的补丁中也强制判断了参数必须是字符串,所以漏洞应该出现在传入的参数时数组的情况下。
漏洞系统搭建/漏洞系统扫描-零基础渗透技巧
程序员六七的博客
07-10 802
本帖旨在于技术交流,请勿进行非法攻击行为。芋道管理系统是当前gitee上最受欢迎的开源系统,其收到的Start数量已经超过50k,该系统集成多种功能于一身,被众多企业所接受。
Fastjson严重漏洞:攻击可致业务瘫痪及修复建议
然而,它在2019年9月3日被发现存在一个重大安全漏洞,该漏洞可能导致攻击者通过构造特殊的JSON字符串,使得目标系统出现内存耗尽(Out-of-Memory,简称OOM)的情况,进而造成服务瘫痪。360-CERT发布了关于此漏洞...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值