點(diǎn)擊上方?好好學(xué)java?，選擇?星標(biāo)?公眾號(hào)

重磅資訊、干貨，第一時(shí)間送達(dá) 今日推薦：終于放棄了單調(diào)的swagger-ui了，選擇了這款神器—knife4j個(gè)人原創(chuàng)100W+訪問(wèn)量博客：點(diǎn)擊前往，查看更多

來(lái)源：安全客

https://www.anquanke.com/post/id/207029

0x01 漏洞背景

2020年05月28日， 360CERT監(jiān)測(cè)發(fā)現(xiàn)業(yè)內(nèi)安全廠商發(fā)布了Fastjson遠(yuǎn)程代碼執(zhí)行漏洞的風(fēng)險(xiǎn)通告，漏洞等級(jí)：高危。

Fastjson是阿里巴巴的開(kāi)源JSON解析庫(kù)，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。

Fastjson存在遠(yuǎn)程代碼執(zhí)行漏洞，autotype開(kāi)關(guān)的限制可以被繞過(guò)，鏈?zhǔn)降姆葱蛄谢粽呔臉?gòu)造反序列化利用鏈，最終達(dá)成遠(yuǎn)程命令執(zhí)行的后果。此漏洞本身無(wú)法繞過(guò)Fastjson的黑名單限制，需要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用。

截止到漏洞通告發(fā)布，官方還未發(fā)布1.2.69版本，360CERT建議廣大用戶(hù)及時(shí)關(guān)注官方更新通告，做好資產(chǎn)自查，同時(shí)根據(jù)臨時(shí)修復(fù)建議進(jìn)行安全加固，以免遭受黑客攻擊。

0x02 風(fēng)險(xiǎn)等級(jí)

360CERT對(duì)該漏洞的評(píng)定結(jié)果如下

評(píng)定方式 等級(jí)

威脅等級(jí) 【高?！?br />影響面 【廣泛】

0x03 影響版本

Fastjson：<= 1.2.68

0x04 修復(fù)建議

臨時(shí)修補(bǔ)建議：

• 升級(jí)到Fastjson 1.2.68版本，通過(guò)配置以下參數(shù)開(kāi)啟 SafeMode 來(lái)防護(hù)攻擊：ParserConfig.getGlobalInstance().setSafeMode(true);（safeMode會(huì)完全禁用autotype，無(wú)視白名單，請(qǐng)注意評(píng)估對(duì)業(yè)務(wù)影響）

0x05 時(shí)間線

2020-05-28 360CERT監(jiān)測(cè)到業(yè)內(nèi)安全廠商發(fā)布漏洞通告

2020-05-28 360CERT發(fā)布預(yù)警

0x06 參考鏈接

https://cloud.tencent.com/announce/detail/1112?from=timeline&isappinstalled=0

官方通告

https://github.com/alibaba/fastjson/releases

最后，再附上我歷時(shí)三個(gè)月總結(jié)的?Java 面試 + Java 后端技術(shù)學(xué)習(xí)指南，這是本人這幾年及春招的總結(jié)，目前，已經(jīng)拿到了大廠offer，拿去不謝！

下載方式

1.?首先掃描下方二維碼

2.?后臺(tái)回復(fù)「Java面試」即可獲取

《新程序員》：云原生和全面數(shù)字化實(shí)踐50位技術(shù)專(zhuān)家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的注意了，Fastjson 最新高危漏洞来袭！的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。