來源 |?https://www.anquanke.com/post/id/207029

0x01 漏洞背景

2020年05月28日， 360CERT監(jiān)測發(fā)現(xiàn)業(yè)內(nèi)安全廠商發(fā)布了Fastjson遠(yuǎn)程代碼執(zhí)行漏洞的風(fēng)險(xiǎn)通告，漏洞等級：高危

Fastjson是阿里巴巴的開源JSON解析庫，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。

Fastjson存在遠(yuǎn)程代碼執(zhí)行漏洞，autotype開關(guān)的限制可以被繞過，鏈?zhǔn)降姆葱蛄谢?**者精心構(gòu)造反序列化利用鏈，最終達(dá)成遠(yuǎn)程命令執(zhí)行的后果。此漏洞本身無法繞過Fastjson的黑名單限制，需要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用。

截止到漏洞通告發(fā)布，官方還未發(fā)布1.2.69版本，360CERT建議廣大用戶及時(shí)關(guān)注官方更新通告，做好資產(chǎn)自查，同時(shí)根據(jù)臨時(shí)修復(fù)建議進(jìn)行安全加固，以免遭受******。

0x02 風(fēng)險(xiǎn)等級

360CERT對該漏洞的評定結(jié)果如下

評定方式 ?等級

威脅等級 【高危】

影響面 ?【廣泛】

0x03 影響版本

Fastjson：<= 1.2.68

0x04 修復(fù)建議

臨時(shí)修補(bǔ)建議：升級到Fastjson 1.2.68版本，通過配置以下參數(shù)開啟 SafeMode 來防護(hù)***：ParserConfig.getGlobalInstance().setSafeMode(true);

safeMode會完全禁用autotype，無視白名單，請注意評估對業(yè)務(wù)影響

0x05 時(shí)間線2020-05-28 360CERT監(jiān)測到業(yè)內(nèi)安全廠商發(fā)布漏洞通告

2020-05-28 360CERT發(fā)布預(yù)警

0x06 參考鏈接

【安全通告】Fastjson <=1.2.68全版本遠(yuǎn)程代碼執(zhí)行漏洞通告：https://cloud.tencent.com/announce/detail/1112

總結(jié)

以上是生活随笔為你收集整理的fastjson safemode_它又又又来了，Fastjson 最新高危漏洞来袭！的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。