主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

漏洞预警!Fastjson远程代码执行漏洞(哨兵云支持检测)
2019-07-17 15:39:25

Fastjson是一个阿里巴巴开源Java库,可用于实现Java对象与JSON字符串之间的相互转换。作为最快速的JSON库,Fastjson拥有大量的用户。

近期,有 Fastjson远程代码执行漏洞曝出,在JSON字符串转换为等效的Java对象时漏洞触发。该漏洞无需开启AutoType即可利用成功,并且利用JNDI就可以形成完整的利用链,危害巨大。

默安科技的哨兵云资产风险监控系统目前已支持Fastjson 远程代码执行漏洞的检测。如果您的企业存在相关风险,可以联系我们辅助检测是否受到此类漏洞影响,以免被攻击者恶意利用,造成品牌和经济损失。


01 漏洞描述

Fastjson是Java中性能优良的将字符串转化为JSON对象第三方库,在企业应用中大量使用。Fastjson库中的 JSON.parse 用法在渲染JSON字符串过程中导致产生代码执行,攻击者可以通过JNDI(RMI服务等)和其它远程服务器配合,实现代码执行,直接导致业务机器被远程控制、内网渗透、窃取敏感信息等操作。


02 受影响的版本

Fastjson <= 1.2.47


03 漏洞检测

对于该漏洞,目前默安科技的哨兵云资产风险监控系统已支持通过安装相关应急插件进行检测,如下图所示。

20_12_48__07_12_2019.jpg

04 漏洞修复(临时处置方法)

  • 升级 Fastjson 到 1.2.48 及以上版本


参考链接:

https://mp.weixin.qq.com/s/N8PpN8Cp6gpVNl9xWEVVcg

本文作者:, 转载请注明来自FreeBuf.COM

被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦