是新朋友吗?记得点击下面名片,关注我哦
漏洞基本信息
漏洞名称:FastJSON<=1.2.68 远程代码执行漏洞
漏洞描述:
FastJSON是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。FastJSON 存在远程代码执行漏洞,可直接获取到服务器权限。漏洞成因是Fastjsonautotype开关的限制可被绕过,然后链式地反序列化某些原本不能被反序列化的有安全风险的类。
修复建议:
1.将 FastJSON 升级到 1.2.69 及以上版本,sec版本升级到 sec10 及以上版本,下载地址:Central Repository: com/alibaba/fastjson2.临时修复建议:开启autoType功能的受影响用户可通过关闭autoType来规避风险,另建议将JDK升级到最新版本。由于autotype开关的限制可被绕过,请受影响用户升级到FastJSON 1.2.68及以上版本,通过开启safeMode配置完全禁用autoType。三种配置SafeMode的方式 如下:1)在代码中配置:ParserConfig.getGlobalInstance().setSafeMode(true);2)加上JVM启动参数:-Dfastjson.parser.safeMode=true(如果有多个包名前缀, 可用逗号隔开)3)通过类路径的fastjson.properties文件来配置:fastjson.parser.safeMode= true
漏洞扫描报告:
版本比对检测原理:检查当前系统中FastJSON版本是否小于等于1.2.68,sec版本小于等于sec09|版本比对检测结果:- fastjson当前安装版本:1.2.51应用相关信息:- 进程PID:7756- 应用路径:/home/app/Dataloader/fastjson-1.2.51.jar- fastjson当前安装版本:1.2.47应用相关信息:
解决方案
替换成高版本jar包,fastjson-1.2.83.jar
下载地址:
https://repo1.maven.org/maven2/com/alibaba/fastjson/
备用下载地址:
公众号回复“fastjson”获取
解决过程
1、查找在运行的进程中是否有低版本fastjson相关的
jps -l
2、查找本地文件应用安装路径下是否存在低版本fastjson jar包
find -name 'fastjson*'
3、备份该低版本fastjson jar文件
参考下面两种形式或者命令,选择其一即可
#复制文件夹以及下面子文件到另外一个目录下
cp -r trilium/dump-db/ home
#复制文件到另外一个目录下
cp docker-compose.yml home
4、替换高版本fastjson jar文件
参考下面命令:
rm -f 1.logcp /trilium/2.log home/
5、重启相关应用服务,验证
少侠,请留步,欢迎点赞关注转发
文章转载自闵栋,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
