华为云安全团队监测到,虽然Fastjson 1.2.67版本在3月22日刚刚发布,增强了部分autoType安全黑名单,但仍有部分Gadgets相关类(shiro-core、ignite-jta 、aries.transaction.jms、caucho-quercus)未加入到黑名单中,这些Gadgets可造成Fastjson的反序列化漏洞。攻击者利用特定的请求可以触发远程代码执行,攻击成功可获得服务器的控制权限。
目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。
一、影响的版本范围
Fastjson<=1.2.67的所有版本。
二、防护方案
官方修复版本尚未发布,建议通过以下方式进行规避:
1、华为云WAF已紧急更新了默认规则库,可对该漏洞进行防护,只需将Web基础防护的状态设置为“拦截”模式。
2、关闭autoType(1.2.25版本开始默认关闭autoType),另外建议将JDK升级到最新版本。autoType关闭方法如下:
方法一:
在项目源码中全文搜索如下代码,将此行代码删除:
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
方法二:
在JVM中启动项目时,切勿添加以下参数:
-Dfastjson.parser.autoTypeSupport=true
关闭autoType后,对于需要使用“@type”能力的场景,采用添加autoType白名单的方式将目标类设为可用。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )
