主页 > 技术经验 > 正文

Fastjson 被曝出“高危”远程代码执行漏洞

2020-06-04 16:44来源:99科技综合编辑:时寒峰

扫一扫

分享文章到微信

扫一扫

关注99科技网微信公众号

  原标题:Fastjson 被曝出“高危”远程代码执行漏洞

  5 月 28 日,360 网络安全响应中心(360-CERT)发布“Fastjson 远程代码执行漏洞通告”。通告称,Java 库 fastjson <= 1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。360 网络安全响应中心评定其为“高危漏洞”,影响面“广泛”。

Fastjson

  据悉,该漏洞的影响版本为 fastjson <=1.2.68 和 fastjson sec 版本 <= sec9,而 android 版本不受此漏洞影响。

  同一天,腾讯云发布安全通告:

  尊敬的腾讯云用户,您好!

  近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。

  据悉,Fastjson 是阿里巴巴的开源 JSON 解析库,它能解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean 。

  Fastjson 采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化 Gadgets 类时,在 autoType 关闭的情况下仍然可以绕过黑白名单防御机制,造成远程命令执行漏洞。经过研究,该漏洞利用门槛较低,可绕过 autoType 限制,风险影响较大。

  在《反序列化漏洞:使用了编译型语言,为什么还是会被注入?》中,安全专家何为舟解释道:黑客构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。

     投稿邮箱:jiujiukejiwang@163.com   详情访问99科技网:http://www.fun99.cn

相关推荐