扑克王平台下载Java 库 fastjson 被曝存“高危”远程代码执行漏洞

文章正文
2020-06-01 08:39

首页>软件之家>软件快报

Java 库 fastjson 被曝存“高危”远程代码执行漏洞2020/5/31 14:37:17来源:开源中国作者:-责编:骑士

fastjson 当前版本为 1.2.68 发布于 3 月底,扑克王平台下载日前某安全运营中心监测到,fastjson <= 1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。360CERT 将漏洞等级定为“高危”。

该远程代码执行漏洞原理是,autotype 开关的限制可以被绕过,链式反序列化攻击者可以通过精心构造反序列化利用链,最终达成远程命令执行。此漏洞本身无法绕过 fastjson 的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

目前 fastjson 官方还未发布修复版本,使用者可以升级到 fastjson 1.2.68 版本,并通过配置 ParserConfig.getGlobalInstance().setSafeMode(true) 参数开启 SafeMode 防护攻击,不过需要注意的是 safeMode 会完全禁用 autotype,无视白名单,需要评估对业务影响的。

详情可以查看:

https://cloud.tencent.com/announce/detail/1112

https://www.anquanke.com/post/id/207029

分享:

下载IT之家APP,分享赚金币换豪礼

相关文章

关键词:Java,漏洞

微信开发 Java SDK:WxJava 3.8.0 正式版本发布

外包的锅?苹果蓝牙保护框架 MagicPairing 被爆出现 10 个0day漏洞未修复

那些想要替代 C 与 Java 们的后浪,如今混得怎么样?

首个运行 WebAssembly 的 Java 库 Wasmer JNI 出现了

黑客 5 分钟即可破解 Thunderbolt 端口,如何自救?

Java 开发工具 IntelliJ IDEA 2019.3.5 发布

文章评论