Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Fastjson爆出远程代码执行漏洞,可导致直接获取服务器权限 这是真的嘛 官方不及时发公告么 #2513

Open
qylhjhd opened this issue Jun 26, 2019 · 9 comments

Comments

@qylhjhd
Copy link

@qylhjhd qylhjhd commented Jun 26, 2019

近日(2019年6月22日),Fastjson爆出远程代码执行漏洞,可导致直接获取服务器权限,目前官方未发布公告说明,该漏洞经内部安全人员研究,影响范围较大,请各研发人员及时升级。
fastjson 是阿里巴巴开源的一个性能很好的 Java 语言实现的 JSON 解析器和生成器,其高性能、功能强大、支持范围广是其特点。
影响版本 <1.2.51

@wenshao

This comment has been minimized.

Copy link
Member

@wenshao wenshao commented Jun 26, 2019

在2018年10月就发布版本修复,发布的Release Note 包括了安全加固信息。具体升级指南看这里:
https://github.com/alibaba/fastjson/wiki/update_faq_20190722

先内部升级再对外公布是正常流程。

jackson也有安全漏洞的,只是不会有人督促你升级而已。

升级过程中遇到问题可以找我支持。

钉钉号 wenshaojin2017
微信号 wenshaojin
微博 http://weibo.com/wengaotie

@yuanx1

This comment has been minimized.

Copy link

@yuanx1 yuanx1 commented Jun 26, 2019

@wenshao 说的是这个,#2500

@study-group123

This comment has been minimized.

Copy link

@study-group123 study-group123 commented Jun 26, 2019

近日(2019年6月22日),Fastjson爆出远程代码执行漏洞,可导致直接获取服务器权限,目前官方未发布公告说明,该漏洞经内部安全人员研究,影响范围较大,请各研发人员及时升级。
fastjson 是阿里巴巴开源的一个性能很好的 Java 语言实现的 JSON 解析器和生成器,其高性能、功能强大、支持范围广是其特点。
影响版本 <1.2.51

具体是什么漏洞?不是17年那个吧?

@vipcxj

This comment has been minimized.

Copy link

@vipcxj vipcxj commented Jun 27, 2019

@study-group123
这个
要点就是autoType功能太作死,使外部人员可以随便要求服务端反序列化指定的类,相当于可以任意执行某个类的set函数,可能也包括静态初始化函数,目前的解决办法貌似是加黑名单,就是那堆安全加固。或许改成白名单是个更好的办法~ 不过我们这所有接口都是先用私有方法解析出post头的json字符串中的令牌字段,之后才有后续的fastjson反序列化操作,所以问题没那么大。

@Ah39

This comment has been minimized.

Copy link

@Ah39 Ah39 commented Jun 28, 2019

关注

@qhzn

This comment has been minimized.

Copy link

@qhzn qhzn commented Jul 6, 2019

到底是是什么漏洞,据说<1.2.51版本都会有影响

@grayddq

This comment has been minimized.

Copy link

@grayddq grayddq commented Jul 11, 2019

来说明下这个洞,fastjson目前流传的有两个洞比较厉害,
一、fastjson版本<1.2.25,rce可以远程直接获取服务器权限
(参考:https://github.com/alibaba/fastjson/wiki/security_update_20170315)
二、fastjson版本<1.2.51(本次需要升级事项)
目前安全市面利用poc已经公开(公开的利用脚本影响version<1.2.48),利用脚本可以远程直接获取服务器权限,目前黑产已经开始批量获取webshell开始搞了。
(参考链接:官方拒绝发布公开文档说明次安全升级工作),猜测可能阿里内部未完成升级工作,所以暂时不公开文档说明。
本次的漏洞版本<1.2.51,影响相当广,已知多个国内Top N的互联网公司均遭到这个漏洞的web入侵事件。

@wingahi

This comment has been minimized.

Copy link

@wingahi wingahi commented Jul 19, 2019

文件:src/test/resources/fastjson.properties
默认配置:
#default
fastjson.compatibleWithJavaBean=false
#default
fastjson.compatibleWithFieldName=false
#default
fastjson.parser.deny=
读取配置代码:
String property = IOUtils.getStringProperty(AUTOTYPE_SUPPORT_PROPERTY);
AUTO_SUPPORT = "true".equals(property);
由此来看,不是默认关闭autotype的么?

@rrfeng

This comment has been minimized.

Copy link

@rrfeng rrfeng commented Jul 23, 2019

这么严重的漏洞 release note 里只写一句『增强安全防护』?

reynaldliu added a commit to reynaldliu/incubator-shardingsphere that referenced this issue Aug 15, 2019
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Projects
None yet
Linked pull requests

Successfully merging a pull request may close this issue.

None yet
10 participants
You can’t perform that action at this time.