安全公告/【CVE-2023-21979】
基本信息
漏洞名称:FastJSON<=1.2.66 AnterosDBCPConfig 远程代码执行漏洞
受影响操作系统:Asianux Server 3 (Quartet SP4)
危险等级:高危
影响源码包:FastJSON
CVSS评分:8
发现日期:2024-03-29
漏洞描述
FastJSON是一个Java 语言实现的 JSON 解析器和生成器。Fastjson远程代码执行漏洞是由于使用br.com.anteros.dbcp.AnterosDBCPConfig类,绕过了Fastjson的黑名单而导致。当服务端加载了存在受漏洞影响的Anteros-DBCP依赖,并且开启了Fastjson的autoType时,远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞,最终可以获取到服务器的控制权限。
修复方式
Fastjson中默认关闭autoType功能,开启了autoType功能的受影响用户可通过关闭autoType来规避风险。 Fastjson近几个漏洞均是使用黑名单的方式修复,很容易造成绕过,产生新的漏洞,建议关闭autotype功能。 autoType关闭方法如下: 方法一:在项目源码中全文搜索如下代码,找到并将此行代码删除: ParserConfig.getGlobalInstance().setAutoTypeSupport(true); 方法二:在JVM中启动项目时,切勿添加以下参数: -Dfastjson.parser.autoTypeSupport=true 也可参考该链接中的方式来进行关闭:https://github.com/alibaba/fastjson/wiki/enable_autotype
漏洞判定
版本比对检测原理:检查当前系统中FastJSON版本是否小于等于1.2.66|版本比对检测结果:- fastjson 当前安装版本:1.2.6 应用相关信息: - 进程PID:12696 - 应用路径:/home/weblogic12/user_projects/domains/csbPay_domain/WebRoot/WEB-INF/lib/fastjson-1.2.6.jar 该主机存在此漏洞
参考
--