资料来源| https://www.anquan ke.com /开机自检/身份证/207029
0x01 漏洞背景
2020年05月28日,360CERT监测由行业安全厂商发布了Fastjson远程代码执行漏洞的风险预警。 脆弱性等级:高危。Fastjson是阿里巴巴的开源JSON解析库,解析JSON格式的字符串。 支持将Java Bean序列化为JSON字符串,或将JSON字符串反序列化为Java Bean。
Fastjson具有远程代码执行漏洞,可以避开autotype交换机的限制。 链式反序列化攻击者精心构建反序列化利用链,最终达到远程命令执行的结果。 这个漏洞本身并不能绕开Fastjson的黑名单限制,要完成完全的漏洞利用,需要与黑名单中没有的反序列化利用链进行合作。
漏洞通知发布之前,官方还没有发布1.2.69版。 360CERT建议广大用户及时关注官方更新通知,对资产进行自我调查,同时安全加强以免根据临时补救建议受到黑客攻击。
0x02 风险等级
360CERT对该脆弱性的评价结果如下决定方式的等级
威胁等级【高危】
影响面【广泛】
0x03影响版本
快速约翰逊:=1.2. 68
升级到
0x04 修复建议
临时修补建议:
fast JSON1.2. 68版,通过设置以下参数打开安全模式来防止攻击: parser config.getglobalinstance (.set安全模式) true ); (安全模式将完全禁用自动类型,并忽略白名单。 请注意评估对业务的影响)
0x05 时间线
2020-05-28 360CERT监测到行业安全制造商发出了漏洞通知2020-05-28 360CERT警报发布