安全公告/【CVE-2023-24998】
基本信息
漏洞名称:FastJSON<=1.2.68 远程代码执行漏洞
受影响操作系统:Asianux Server 4 (Hiranya SP4)
危险等级:高危
影响源码包:FastJSON
CVSS评分:8
发现日期:2024-03-29
漏洞描述
FastJSON是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。FastJSON 存在远程代码执行漏洞,可直接获取到服务器权限。漏洞成因是Fastjson autotype开关的限制可被绕过,然后链式地反序列化某些原本不能被反序列化的有安全风险的类。
修复方式
1.将 FastJSON 升级到 1.2.69 及以上版本,sec版本升级到 sec10 及以上版本,下载地址:https://repo1.maven.org/maven2/com/alibaba/fastjson/ 2.临时修复建议:开启了autoType功能的受影响用户可通过关闭autoType来规避风险,另建议将JDK升级到最新版本。 由于autotype开关的限制可被绕过,请受影响用户升级到FastJSON 1.2.68及以上版本,通过开启safeMode配置完全禁用autoType。三种配置SafeMode的方式如下: 1)在代码中配置: ParserConfig.getGlobalInstance().setSafeMode(true); 2)加上JVM启动参数: -Dfastjson.parser.safeMode=true (如果有多个包名前缀,可用逗号隔开) 3)通过类路径的fastjson.properties文件来配置: fastjson.parser.safeMode=true
漏洞判定
版本比对检测原理:检查当前系统中FastJSON版本是否小于等于1.2.68,sec版本小于等于sec09|版本比对检测结果:- fastjson 当前安装版本:1.1.24 应用相关信息: - 进程PID:22802 - 应用路径:/app/fsvcweb/FSvcWeb/webapps/ROOT/WEB-INF/lib/fastjson-1.1.24.jar 该主机存在此漏洞
参考
--