1. 首页
  2. 文章中心
  3. fastjson safemode

fastjson safemode_Fastjson <1.2.69反序列化远程代码执行漏洞安全警告 - UCloud中立云计算服务商...

156 阅读 0 评论
我是靠谱客的博主 瘦瘦犀牛,这篇文章主要介绍fastjson safemode_Fastjson <1.2.69反序列化远程代码执行漏洞安全警告 - UCloud中立云计算服务商...,现在分享给大家,希望可以做个参考。

UCloud-202005-004:Fastjson <1.2.69反序列化远程代码执行漏洞安全警告

发布时间

2020-05-28

更新时间

2020-05-28

漏洞等级

High

CVE编号

漏洞详情

Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化攻击者精心构造反序列化利用链,最终达成远程命令执行的后果。此漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

影响范围

Fastjson < 1.2.69

Fastjson sec版本 < sec10

android版本不受此漏洞影响

修复方案

1.升级至安全版本,参考以下链接:

https://repo1.maven.org/maven2/com/alibaba/fastjson/

注意:较低版本升级至最新版本1.2.69可能会出现兼容性问题,建议升级至特定版本的sec10 bugfix版本,具体参考:

https://github.com/alibaba/fastjson/wiki/security_update_20200601

2.fastjson加固

fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可一定程度上缓解反序列化Gadgets类变种攻击,开启方法参考:

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

注意:safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响;

3.使用UCloud WAF进行安全防御:https://www.ucloud.cn/site/product/uewaf.html

参考链接

最后

以上就是瘦瘦犀牛最近收集整理的关于fastjson safemode_Fastjson <1.2.69反序列化远程代码执行漏洞安全警告 - UCloud中立云计算服务商...的全部内容,更多相关fastjson内容请搜索靠谱客的其他文章。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(103)

相关文章

Spring Cloud(02)——bootstrap文件介绍bootstrap文件介绍
Spring Cloud(02)——bootstrap文件介绍bootstrap文件介绍
mysql serialization_MySQL JDBC Deserialization Payload / MySQL客户端jdbc反序列化漏洞
mysql serialization_MySQL JDBC Deserialization Payload / MySQL客户端jdbc反序列化漏洞
Spring Boot Actuator RCE
Spring Boot Actuator RCE
SpringBoot下的远程调用
SpringBoot下的远程调用
fastjson safemode_Fastjson <1.2.69反序列化远程代码执行漏洞安全警告 - UCloud中立云计算服务商...
fastjson safemode_Fastjson <1.2.69反序列化远程代码执行漏洞安全警告 - UCloud中立云计算服务商...
fastjson反序列化漏洞目录前言一、漏洞原理二、漏洞复现参考资料
fastjson反序列化漏洞目录前言一、漏洞原理二、漏洞复现参考资料
fastjson 判断是否包含_什么是FastJson的AutoType反序列化漏洞?
fastjson 判断是否包含_什么是FastJson的AutoType反序列化漏洞?
autotype安全 fastjson_FastJson最新反序列化漏洞分析
autotype安全 fastjson_FastJson最新反序列化漏洞分析

评论列表共有 0 条评论

立即
投稿
返回
顶部