【漏洞简介】
近日, fastjson出现高危远程代码执行漏洞,该漏洞是fastjson于2017年3月爆出的远程代码执行漏洞(CNVD-2017-02833)新的绕过利用方式,攻击者可以通过此漏洞绕过黑名单策略执行远程代码,从而入侵服务器。目前PoC已公开,官方已经发布了最新版本,建议尽快更新修复该漏洞。
【fastjson介绍】
fastjson 是由阿里巴巴公司开发,基于Java 语言实现的 JSON 解析器和生成器。fastjson可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
【风险评级】高危
【影响范围】fastjson
1.2.48以下版本
【漏洞分析】
2017年3月,fastjson 1.2.24以下版本被爆出存在远程代码执行漏洞(CNVD-2017-02833),当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行。
fastjson官方在1.2.25版本中通过新增黑名单类阻止漏洞利用代码触发,本次新爆出的POC是该漏洞的一种绕过黑名单策略的新利用方式。
【修复建议】
1. 升级至FastJSON最新版本(1.2.58)。建议参考阿里官方公告。
https://helpcdn.aliyun.com/document_detail/123431.html
2. 腾讯御界高级威胁检测系统已支持检测此类攻击