订阅业界RSS CSDN首页> 业界

Fastjson 1.2.67版本刚刚发布即爆出严重漏洞,华为云WAF可提供防护

发表于2020-03-24 10:02| 来源互联网| 作者互联网

摘要:华为云安全团队监测到,虽然Fastjson 1.2.67版本在3月22日刚刚发布,增强了部分autoType安全黑名单,但仍有部分Gadgets相关类(shiro-core、ignite-jta 、aries.transaction.jms、caucho-quercus)未加入到黑名单中,这些Gadgets可造成Fastjson的反序列化漏洞。攻击者利用特定的请求可以触发远程代码执行,攻击成功可获得服务器的控制权限...

 华为云安全团队监测到,虽然Fastjson 1.2.67版本在3月22日刚刚发布,增强了部分autoType安全黑名单,但仍有部分Gadgets相关类(shiro-core、ignite-jta 、aries.transaction.jms、caucho-quercus)未加入到黑名单中,这些Gadgets可造成Fastjson的反序列化漏洞。攻击者利用特定的请求可以触发远程代码执行,攻击成功可获得服务器的控制权限。

目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

一、影响的版本范围

Fastjson<=1.2.67的所有版本。

二、防护方案

官方修复版本尚未发布,建议通过以下方式进行规避:

1、华为云WAF已紧急更新了默认规则库,可对该漏洞进行防护,只需将Web基础防护的状态设置为“拦截”模式。

2、关闭autoType(1.2.25版本开始默认关闭autoType),另外建议将JDK升级到最新版本。autoType关闭方法如下:

方法一:

在项目源码中全文搜索如下代码,将此行代码删除:

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

方法二:

在JVM中启动项目时,切勿添加以下参数:

-Dfastjson.parser.autoTypeSupport=true

关闭autoType后,对于需要使用“@type”能力的场景,采用添加autoType白名单的方式将目标类设为可用。

【免责声明:CSDN本栏目发布信息,目的在于传播更多信息,丰富网络文化,稿件仅代表作者个人观点,与CSDN无关。其原创性以及中文陈述文字和文字内容未经本网证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本网不做任何保证或者承诺,请读者仅作参考,并请自行核实相关内容。凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。您若对该稿件有任何怀疑或质疑,立即与CSDN联系,我们将迅速给您回应并做处理。】