Уязвимость десериализации Fastjson, связанная с удаленным выполнением кода

1. Описание:

Fastjson — это высокопроизводительная библиотека синтаксического анализа и обработки JSON с открытым исходным кодом, широко используемая в Китае. 23 мая Fastjson официально выпустил бюллетень по безопасности, в котором говорилось, что исправлена новая уязвимость десериализации:

Fastjson защищает от уязвимостей десериализации на основе черных и белых списков.Эти механизмы защиты можно обойти в Fastjson 1.2.80 и более ранних версиях. Таким образом, в конфигурации по умолчанию, когда приложение или система использует Fastjson для анализа управляемых пользователем строк JSON, это может привести к компрометации удаленного выполнения кода.

2. Сфера влияния:

Фастджсон ≤ версии 1.2.80.

3. Решения или предложения:

3.1 Обновление до последней версии 1.2.83https://github.com/alibaba/fastjson/releases/tag/1.2.83
В этом выпуске внесены изменения в поведение автотипа. В некоторых случаях может возникнуть несовместимость. Если у вас есть вопросы, вы можете перейти наhttps://github.com/alibaba/fastjson/issues искалпомощь.

3.2 усиление безопасного режима
В версии 1.2.68 и более поздних fastjson введен режим safeMode. При настройке режима safeMode autoType не поддерживается ни в белых, ни в черных списках, что предотвращает атаки на варианты гаджетов десериализации (отключите autoType и внимательно оцените последствия для вашего бизнеса).

3.2.1 Способ открытия
Ссылаться наhttps://github.com/alibaba/fastjson/wiki…n_safemode

3.2.2 Необходимо ли использовать SafeMode после версии 1.2.83
Версия 1.2.83 исправляет обнаруженную на этот раз уязвимость. Включение SafeMode означает полное отключение функции автотипа во избежание повторения подобных проблем. Может быть проблема совместимости. Пожалуйста, полностью оцените влияние на ваш бизнес и будьте открыты.

3.3 Обновление до fastjson v2
адрес fastjson v2https://github.com/alibaba/fastjson2/releases

fastjson имеет версию с открытым исходным кодом 2.0. В версии 2.0 белый список больше не предусмотрен для совместимости, что повышает безопасность. Код fastjson v2 был переписан, и производительность значительно улучшена. Он не полностью совместим с версией 1.x. Обновления требуют тщательного тестирования совместимости. Если при обновлении возникли проблемы, см.https://github.com/alibaba/fastjson2/issues

Справочный источник >>https://hackertop.com/thread-2.html

Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/fastjson-десериализация-rce-уязвимость-html.

Нравиться (25)
Предыдущий 21 мая 2022 пп10:15
Следующий 26 июля 2022 пп 6:01