I. Beschreibung:
Fastjson ist eine quelloffene, hochleistungsfähige JSON-Parsing- und Verarbeitungsbibliothek, die in China weit verbreitet ist. Am 23. Mai wurde im offiziellen Fastjson-Sicherheitsbulletin mitgeteilt, dass eine neue Deserialisierungsschwachstelle behoben wurde:
Fastjson schützt vor Schwachstellen bei der Deserialisierung auf Basis von schwarzen und weißen Listen. Diese Schwachstellen können in Fastjson 1.2.80 und früher umgangen werden. Daher kann eine Anwendung oder ein System, das Fastjson zum Parsen von benutzergesteuerten JSON-Strings verwendet, in der Standardkonfiguration anfällig für Remotecodeausführung sein.
2. den Umfang der Auswirkungen:
Fastjson ≤ Version 1.2.80.
3) Lösungen oder Empfehlungen:
3.1 Upgrade auf die neueste Version 1.2.83https://github.com/alibaba/fastjson/releases/tag/1.2.83
Diese Version bringt eine Änderung im Verhalten der automatischen Typen mit sich. In einigen Fällen kann es zu Inkompatibilitäten kommen. Wenn Sie Probleme haben, können Sie sich anhttps://github.com/alibaba/fastjson/issues寻求Hilfe.
3.2 safeMode-Verstärkung
fastjson führte safeMode in 1.2.68 und später ein. Als safeMode konfiguriert, wird autoType weder in der Whitelist noch in der Blacklist unterstützt, was verhindert, dass Deserialisierungs-Gadget-Varianten angegriffen werden (schalten Sie autoType aus und achten Sie darauf, die Auswirkungen auf Ihr Unternehmen zu bewerten)
3.2.1 Eröffnungsmethode
Beratunghttps://github.com /alibaba/fastjson/wiki...n_safemode
3.2.2 Ob safeMode nach 1.2.83 erforderlich ist
1.2.83 behebt die dieses Mal entdeckte Sicherheitslücke. SafeMode ist aktiviert, um die Funktion autoType vollständig zu deaktivieren, damit ähnliche Probleme nicht mehr auftreten. Dies kann zu Kompatibilitätsproblemen führen. Bitte bewerten Sie die Auswirkungen auf Ihr Unternehmen und öffnen Sie es.
3.3 Upgrade auf fastjson v2
fastjson v2-Adressehttps://github.com/alibaba/fastjson2/releases
fastjson hat Open-Source-Version 2.0 gewesen. In Version 2.0 , für die Kompatibilität nicht mehr eine Whitelist , wodurch die Sicherheit zu verbessern. fastjson v2 Code wurde neu geschrieben, die Leistung wurde stark verbessert. Es ist nicht vollständig kompatibel mit 1.x. Ein Upgrade erfordert strenge Kompatibilitätstests. Wenn Sie Probleme beim Upgrade haben, lesen Sie bitte unterhttps://github.com/alibaba/fastjson2/issues
Referenz-Quellen >>https://hackertop.com/thread-2.html
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/fastjson-deserialisation-rce-verwundbarkeit-html
