首页 > 清静研究 > 清静转达 > 清静通告

Fastjson远程代码执行误差通告

宣布时间 2020-05-29

0x00 误差概述

CVE ID	暂无	时间	2020-05-29
类型	RCE	等级	高危
远程使用	是	影响规模	Fastjson <= 1.2.68

0x01 误差详情

人生就是博-尊龙凯时中国官网

Fastjson是阿里巴巴的开源JSON剖析库，，，它可以剖析JSON名堂的字符串，，，支持将Java Bean序列化为JSON字符串，，，也可以从JSON字符串反序列化到JavaBean。。。。。。

2020年5月28日，，，Github宣布了有关Fastjson <= 1.2.68版本保存远程代码执行误差的通告，，，该误差可绕过autoType开关的限制，，，攻击者全心结构反序列化使用链，，，实现在目的机械上的远程代码执行。。。。。。此误差自己无法绕过Fastjson的黑名单限制，，，需要配合不在黑名单中的反序列化使用链才华完成误差使用。。。。。。

Fastjson版本检测下令：

lsof | grep fastjson

0x02 处置惩罚建议

阻止到现在，，，官方还未宣布1.2.69版本，，，建议宽大用户实时关注官方更新通告，，，做好资产自查，，，以免遭受黑客攻击。。。。。。

暂时步伐：

受影响用户可通过禁用autoType来规避危害，，，另外建议将JDK升级到最新版本。。。。。。

由于autotype开关的限制可被绕过，，，请受影响用户升级fastjson至1.2.68版本，，，通过开启safeMode设置完全禁用autoType。。。。。。( 注重：safeMode会完全禁用autotype，，，无视白名单，，，请注重评估对营业影响)三种设置SafeMode的方法如下:

? 在代码中设置：

ParserConfig.getGlobalInstance().setSafeMode(true);

? 加上JVM启动参数：若是有多个包名前缀，，，可用逗号离隔。。。。。。

-Dfastjson.parser.safeMode=true

? 通过fastjson.properties文件设置：通过类路径的fastjson.properties文件来设置，，，设置方法如下：

fastjson.parser.safeMode=true

0x03 参考链接

https://github.com/alibaba/fastjson/releases

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

0x04 时间线

2020-05-28 Github宣布误差通告

2020-05-29 VSRC宣布误差通告

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

人生就是博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系人生就是博

清静研究

Fastjson远程代码执行误差通告

关于人生就是博

解决计划

清静研究

联系人生就是博

7*24小时效劳热线