Fastjson反序列化远程代码执行漏洞通告
一、漏洞概述 5月23日,绿盟科技CERT监测到Fastjson官方发布公告称在1.2.80及以下版本中存在新
在jackson-databind 中最新发现的反序列化 gadget 也同样影响了fastjson,经绿盟科技研究人员验证复现,该漏洞影响最新的fastjson 1.2.62 版本,利用该漏洞可导致受害机器上的远程代码执行。开启了autoType功能的用户会受此漏洞影响(autoType功能默认关闭)。
近日,有安全人员发现Fastjson的多个版本补丁修复存在问题。攻击者仍然可以通过发送精心制造的请求包, 在使用Fastjson的服务器上远程执行代码。该问题影响Fastjson 1.2.47以及之前的版本,而且无需开启Autotype选项。
在2017年绿盟科技NS-SRC 处理的漏洞应急中有很大一部分是反序列化漏洞,和以往漏洞形式不一样的是,2017年则多出了fastjson、Jackson等,还有关于XMLDecoder和XStream的应急,本报告重点回顾2017年绿盟科技重点应急,影响面非常广的那些反序列化漏洞。从这个报告中能看出反序列化漏洞的发展,攻击方和防御方不停的对抗过程,bypass和反bypass在这个过程中体现得淋漓尽致。
Fastjson于今年3月份曝出一个远程代码执行漏洞,官方随后通过默认关闭autotype功能和开启黑名单解决了该漏洞,但近日有研究人员发现该黑名单存在一定限制,在开启autotype功能后可以通过改变相关类名来绕过黑名单,从而实现远程代码执行。