Skip to content
New issue

Have a question about this project? # for a free GitHub account to open an issue and contact its maintainers and the community.

#

By clicking “#”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? # to your account

Jump to bottom

安全漏洞提醒 #215

Open
charles-liming opened this issue Aug 23, 2024 · 1 comment
Open

安全漏洞提醒 #215

charles-liming opened this issue Aug 23, 2024 · 1 comment

Comments

@charles-liming
Copy link

charles-liming commented Aug 23, 2024
edited
Loading

漏洞1:高危 fastjson <= 1.2.68 反序列化远程代码执行漏洞
软件:fastjson(jar) 1.2.67
命中:["fastjson(jar) version less than equals 1.2.68","fastjson(jar) extendField.safemode equals false"]
路径:/home/polarx/polardbx/build/run/polardbx-sql/lib/fastjson-1.2.67.jar
修复建议:
注意:较低版本升级至最新版本1.2.69可能会出现兼容性问题,建议升级至特定版本的sec10 bugfix版本
一、升级至安全版本,参考下载链接:https://repo1.maven.org/maven2/com/alibaba/fastjson/
二、fastjson加固
fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可一定程度上缓解反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)开启方法参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
三、采用其他json处理组件替换,jackson-databind漏洞也频发,建议使用Gson
四、使用阿里云云防火墙紧急漏洞拦截(可申请免费试用),再升级到安全版本
注意:
fastjson漏洞检测规则是通过判定机器运行时的jar包中是否存在漏洞版本的fastjson组件,无法精准确认漏洞有效攻击面,实际是否真实受漏洞影响还需用户根据自身业务判断。

漏洞2:高危 fastjson <= 1.2.80 反序列化任意代码执行漏洞
软件:fastjson(jar) 1.2.67
命中:["fastjson(jar) extendField.safemode equals false","fastjson(jar) version less than equals 1.2.80"]
路径:/home/polarx/polardbx/build/run/polardbx-sql/lib/fastjson-1.2.67.jar
修复建议:1、升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83 。该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。
2、fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
3、因升级版本可能带来兼容性问题,可使用noneautotype版本,参考:https://github.com/alibaba/fastjson/wiki/security_update_20220523
4、迁移升级使用fastjson v2 ,可参考 https://github.com/alibaba/fastjson2/releases

漏洞3: 高危 FasterXML jackson-databind
软件:jackson-databind(jar) 2.6.7.2
命中:["jackson-databind(jar) version less than 2.6.7.3","jackson-databind(jar) version more than equals 2.0.0"]
路径:/home/polarx/polardbx/build/run/polardbx-cdc/polardbx-binlog.standalone/lib/jackson-databind-2.6.7.2.jar
修复建议: 针对使用到jackson-databind组件的web服务器升级jackson相关组件至最新版本:FasterXML/jackson-databind#2334

漏洞4: 高危 2.x logback/JNDI 反序列化漏洞(CVE-2019-14439
修复建议:

漏洞5:中危
Spring Framework 特殊匹配模式下身份认证绕过漏洞(CVE-2023-20860
修复建议:Spring Framework 升级至 5.3.26 及以上版本 或者 6.0.7 及以上版本
@why168
Copy link

why168 commented Aug 23, 2024

com.alibaba.fastjson2 fastjson2 2.0.52

# for free to join this conversation on GitHub. Already have an account? # to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@why168 @charles-liming