You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
漏洞3: 高危 FasterXML jackson-databind
软件:jackson-databind(jar) 2.6.7.2
命中:["jackson-databind(jar) version less than 2.6.7.3","jackson-databind(jar) version more than equals 2.0.0"]
路径:/home/polarx/polardbx/build/run/polardbx-cdc/polardbx-binlog.standalone/lib/jackson-databind-2.6.7.2.jar
修复建议: 针对使用到jackson-databind组件的web服务器升级jackson相关组件至最新版本:FasterXML/jackson-databind#2334
漏洞1:高危 fastjson <= 1.2.68 反序列化远程代码执行漏洞
软件:fastjson(jar) 1.2.67
命中:["fastjson(jar) version less than equals 1.2.68","fastjson(jar) extendField.safemode equals false"]
路径:/home/polarx/polardbx/build/run/polardbx-sql/lib/fastjson-1.2.67.jar
修复建议:
注意:较低版本升级至最新版本1.2.69可能会出现兼容性问题,建议升级至特定版本的sec10 bugfix版本
一、升级至安全版本,参考下载链接:https://repo1.maven.org/maven2/com/alibaba/fastjson/
二、fastjson加固
fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可一定程度上缓解反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)开启方法参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
三、采用其他json处理组件替换,jackson-databind漏洞也频发,建议使用Gson
四、使用阿里云云防火墙紧急漏洞拦截(可申请免费试用),再升级到安全版本
注意:
fastjson漏洞检测规则是通过判定机器运行时的jar包中是否存在漏洞版本的fastjson组件,无法精准确认漏洞有效攻击面,实际是否真实受漏洞影响还需用户根据自身业务判断。
漏洞2:高危 fastjson <= 1.2.80 反序列化任意代码执行漏洞
软件:fastjson(jar) 1.2.67
命中:["fastjson(jar) extendField.safemode equals false","fastjson(jar) version less than equals 1.2.80"]
路径:/home/polarx/polardbx/build/run/polardbx-sql/lib/fastjson-1.2.67.jar
修复建议:1、升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83 。该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。
2、fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
3、因升级版本可能带来兼容性问题,可使用noneautotype版本,参考:https://github.com/alibaba/fastjson/wiki/security_update_20220523
4、迁移升级使用fastjson v2 ,可参考 https://github.com/alibaba/fastjson2/releases
漏洞3: 高危 FasterXML jackson-databind
软件:jackson-databind(jar) 2.6.7.2
命中:["jackson-databind(jar) version less than 2.6.7.3","jackson-databind(jar) version more than equals 2.0.0"]
路径:/home/polarx/polardbx/build/run/polardbx-cdc/polardbx-binlog.standalone/lib/jackson-databind-2.6.7.2.jar
修复建议: 针对使用到jackson-databind组件的web服务器升级jackson相关组件至最新版本:FasterXML/jackson-databind#2334
漏洞4: 高危 2.x logback/JNDI 反序列化漏洞(CVE-2019-14439)
修复建议:
漏洞5:中危
Spring Framework 特殊匹配模式下身份认证绕过漏洞(CVE-2023-20860)
修复建议:Spring Framework 升级至 5.3.26 及以上版本 或者 6.0.7 及以上版本
The text was updated successfully, but these errors were encountered: