久久精品一区二区三区国产精品,99国产欧美精品久久久麻豆,精品久久九九国产热,久久99国产精品久久99

      <track id="n1auq"></track>
      <tbody id="n1auq"><span id="n1auq"></span></tbody>
      <tbody id="n1auq"></tbody>
      <track id="n1auq"></track>

    1. 首頁安全服務安全公告
      正文

      Fastjson遠程代碼執行漏洞安全預警與建議

      發布時間:2022-05-25 16:05   瀏覽次數:6500

      近日,海峽信息安全威脅情報中心監測到阿里巴巴公司開源Java開發組件Fastjson存在遠程代碼執行漏洞。攻擊者利用上述漏洞可遠程執行任意代碼。目前官方已發布安全版本,海峽信息安全應急中心建議受影響單位和用戶立即升級至安全版本。


      一、漏洞描述

      Fastjson是阿里巴巴開源的Java對象和JSON格式字符串的快速轉換的工具庫。它可以解析JSON格式的字符串,支持將Java Bean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean。相關Fastjson版本存在遠程代碼執行漏洞,攻擊者可以在特定依賴下利用此漏洞繞過默認autoType關閉限制,從而反序列化有關安全風險的類。在特定條件下可能導致遠程代碼執行。


      二、影響范圍

      受影響的產品及版本:

      特定依賴存在下影響 Fastjson ≤1.2.80


      三、安全防范建議

      海峽信息提醒各相關單位和用戶要強化風險意識,切實加強安全防范:

      1、目前黑盾Web應用防火墻、黑盾入侵檢測系統、黑盾入侵防御系統等安全設備支持漏洞防御及相關漏洞的檢測:


      6626262.png

      如相關用戶設備規則庫未升級至最新規則庫,請及時升級設備規則庫版本,相關特征庫已發布到官網

      http://www.xinhuadazong.com/Technical/upgrade.html

      2、目前官方已發布安全版本:1.2.83,海峽信息提醒各相關單位和用戶要強化風險意識,切實加強安全防范:

      建議用戶盡快自查,對受影響的版本及時升級至最新版本1.2.83:https://github.com/alibaba/fastjson/releases/tag/1.2.83

      3、配置safeMode

      Fastjson在 1.2.68 及之后的版本中引入了 safeMode,配置 safeMode 后,無論白名單和黑名單,都不支持 autoType,可杜絕此類反序列化漏洞攻擊(關閉autoType注意評估對業務的影響)。因此 1.2.68 及之后版本的用戶若無法通過版本升級來修復漏洞,可考慮配置開啟 safeMode,如下提供三種配置SafeMode的方法:

      a、在相應有引入Fastjson組件的代碼中,配置加入如下代碼:ParserConfig.getGlobalInstance().setSafeMode(true)

      b、通過fastjson.properties文件配置,在配置文件中加入如下:fastjson.parser.safeMode=true

      c、加上JVM啟動參數:-Dfastjson.parser.safeMode=true

      具體配置方法可參考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode

       

      附參考鏈接:

      https://www.cnvd.org.cn/flaw/show/CNVD-2022-40233

      福建省海峽信息技術有限公司 版權所有  聯系: hxzhb@heidun.net 閩ICP備06011901號 ? 1999-2023 Fujian Strait Information Corporation. All Rights Reserved.

      返回頂部

      久久精品一区二区三区国产精品,99国产欧美精品久久久麻豆,精品久久九九国产热,久久99国产精品久久99