概述
UCloud-202005-004:Fastjson <1.2.69反序列化远程代码执行漏洞安全警告
发布时间
2020-05-28
更新时间
2020-05-28
漏洞等级
High
CVE编号
漏洞详情
Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化攻击者精心构造反序列化利用链,最终达成远程命令执行的后果。此漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。
影响范围
Fastjson < 1.2.69
Fastjson sec版本 < sec10
android版本不受此漏洞影响
修复方案
1.升级至安全版本,参考以下链接:
https://repo1.maven.org/maven2/com/alibaba/fastjson/
注意:较低版本升级至最新版本1.2.69可能会出现兼容性问题,建议升级至特定版本的sec10 bugfix版本,具体参考:
https://github.com/alibaba/fastjson/wiki/security_update_20200601
2.fastjson加固
fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可一定程度上缓解反序列化Gadgets类变种攻击,开启方法参考:
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
注意:safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响;
3.使用UCloud WAF进行安全防御:https://www.ucloud.cn/site/product/uewaf.html
参考链接
最后
以上就是瘦瘦犀牛为你收集整理的fastjson safemode_Fastjson <1.2.69反序列化远程代码执行漏洞安全警告 - UCloud中立云计算服务商...的全部内容,希望文章能够帮你解决fastjson safemode_Fastjson <1.2.69反序列化远程代码执行漏洞安全警告 - UCloud中立云计算服务商...所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复