近日(2019年6月22日),Fastjson爆出远程代码执行漏洞,可导致直接获取服务器权限,目前官方未发布公告说明,该漏洞经内部安全人员研究,影响范围较大,请各研发人员及时升级。 fastjson 是阿里巴巴开源的一个性能很好的 Java 语言实现的 JSON 解析器和生成器,其高性能、功能强大、支持范围广是其特点。 影响版本 <1.2.51
[alibaba/fastjson]Fastjson爆出远程代码执行漏洞,可导致直接获取服务器权限 这是真的嘛 官方不及时发公告么
回答
在2018年10月就发布版本修复,发布的Release Note 包括了安全加固信息。具体升级指南看这里: https://github.com/alibaba/fastjson/wiki/update_faq_20190722
先内部升级再对外公布是正常流程。
jackson也有安全漏洞的,只是不会有人督促你升级而已。
升级过程中遇到问题可以找我支持。
钉钉号 wenshaojin2017 微信号 wenshaojin 微博 http://weibo.com/wengaotie
@wenshao 说的是这个,https://github.com/alibaba/fastjson/issues/2500
具体是什么漏洞?不是17年那个吧?
@study-group123 这个吧 要点就是autoType功能太作死,使外部人员可以随便要求服务端反序列化指定的类,相当于可以任意执行某个类的set函数,可能也包括静态初始化函数,目前的解决办法貌似是加黑名单,就是那堆安全加固。或许改成白名单是个更好的办法~ 不过我们这所有接口都是先用私有方法解析出post头的json字符串中的令牌字段,之后才有后续的fastjson反序列化操作,所以问题没那么大。
关注
到底是是什么漏洞,据说<1.2.51版本都会有影响
来说明下这个洞,fastjson目前流传的有两个洞比较厉害, 一、fastjson版本<1.2.25,rce可以远程直接获取服务器权限 (参考:https://github.com/alibaba/fastjson/wiki/security_update_20170315) 二、fastjson版本<1.2.51(本次需要升级事项) 目前安全市面利用poc已经公开(公开的利用脚本影响version<1.2.48),利用脚本可以远程直接获取服务器权限,目前黑产已经开始批量获取webshell开始搞了。 (参考链接:官方拒绝发布公开文档说明次安全升级工作),猜测可能阿里内部未完成升级工作,所以暂时不公开文档说明。 本次的漏洞版本<1.2.51,影响相当广,已知多个国内Top N的互联网公司均遭到这个漏洞的web入侵事件。
文件:src/test/resources/fastjson.properties 默认配置:
defaultfastjson.compatibleWithJavaBean=false
defaultfastjson.compatibleWithFieldName=false
defaultfastjson.parser.deny= 读取配置代码: String property = IOUtils.getStringProperty(AUTOTYPE_SUPPORT_PROPERTY); AUTO_SUPPORT = "true".equals(property); 由此来看,不是默认关闭autotype的么?
这么严重的漏洞 release note 里只写一句『增强安全防护』?