【安全预警】Fastjson <=1.2.60版本远程代码执行漏洞预警
摘要:
尊敬的腾讯云客户, 您好:
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
Fastjson是阿里巴巴提供的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
9月18日,安全研究者在Fastjson官方GitHub上提交了针对 Fastjson 反序列化远程命令执行漏洞新利用方式的修复代码,攻击者可以通过此漏洞达到远程控制服务器的目的。
【风险等级】
高风险
【漏洞风险】
远程代码执行,控制服务器进行恶意操作
【影响版本】
Fastjson <= 1.2.60 版本
【修复建议】
截至公告发布,官方暂未发布新版本修复该漏洞,腾讯云安全团队建议您:
1)关闭autoType功能,详细参考方法如下:
方法1: 在项目源码中搜索如下代码,找到该行代码并将其删除:
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
方法2: 在JVM中启动项目时,命令行中不添加autoType参数:
-Dfastjson.parser.autoTypeSupport=true
2)关注官方最新版本发布情况,在官方发布修复版本后,请升级至最新修复版本,地址:https://github.com/alibaba/fastjson/releases
3)推荐采用 Jackson-databind 或者 Gson 等组件。
【漏洞参考】