Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

安全漏洞提醒 #215

Closed
charles-liming opened this issue Aug 23, 2024 · 2 comments
Closed

安全漏洞提醒 #215

charles-liming opened this issue Aug 23, 2024 · 2 comments

Comments

@charles-liming
Copy link

charles-liming commented Aug 23, 2024

漏洞1:高危 fastjson <= 1.2.68 反序列化远程代码执行漏洞
软件:fastjson(jar) 1.2.67
命中:["fastjson(jar) version less than equals 1.2.68","fastjson(jar) extendField.safemode equals false"]
路径:/home/polarx/polardbx/build/run/polardbx-sql/lib/fastjson-1.2.67.jar
修复建议:
注意:较低版本升级至最新版本1.2.69可能会出现兼容性问题,建议升级至特定版本的sec10 bugfix版本
一、升级至安全版本,参考下载链接:https://repo1.maven.org/maven2/com/alibaba/fastjson/
二、fastjson加固
fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可一定程度上缓解反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)开启方法参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
三、采用其他json处理组件替换,jackson-databind漏洞也频发,建议使用Gson
四、使用阿里云云防火墙紧急漏洞拦截(可申请免费试用),再升级到安全版本
注意:
fastjson漏洞检测规则是通过判定机器运行时的jar包中是否存在漏洞版本的fastjson组件,无法精准确认漏洞有效攻击面,实际是否真实受漏洞影响还需用户根据自身业务判断。

漏洞2:高危 fastjson <= 1.2.80 反序列化任意代码执行漏洞
软件:fastjson(jar) 1.2.67
命中:["fastjson(jar) extendField.safemode equals false","fastjson(jar) version less than equals 1.2.80"]
路径:/home/polarx/polardbx/build/run/polardbx-sql/lib/fastjson-1.2.67.jar
修复建议:1、升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83 。该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。
2、fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
3、因升级版本可能带来兼容性问题,可使用noneautotype版本,参考:https://github.com/alibaba/fastjson/wiki/security_update_20220523
4、迁移升级使用fastjson v2 ,可参考 https://github.com/alibaba/fastjson2/releases

漏洞3: 高危 FasterXML jackson-databind
软件:jackson-databind(jar) 2.6.7.2
命中:["jackson-databind(jar) version less than 2.6.7.3","jackson-databind(jar) version more than equals 2.0.0"]
路径:/home/polarx/polardbx/build/run/polardbx-cdc/polardbx-binlog.standalone/lib/jackson-databind-2.6.7.2.jar
修复建议: 针对使用到jackson-databind组件的web服务器升级jackson相关组件至最新版本:FasterXML/jackson-databind#2334

漏洞4: 高危 2.x logback/JNDI 反序列化漏洞(CVE-2019-14439
修复建议:

漏洞5:中危
Spring Framework 特殊匹配模式下身份认证绕过漏洞(CVE-2023-20860
修复建议:Spring Framework 升级至 5.3.26 及以上版本 或者 6.0.7 及以上版本

@why168
Copy link

why168 commented Aug 23, 2024

com.alibaba.fastjson2 fastjson2 2.0.52

@wenki-96
Copy link
Contributor

fixed in ca00d7f

@ZSYTY ZSYTY closed this as completed Oct 21, 2024
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
None yet
Projects
None yet
Development

No branches or pull requests

4 participants