又一”核弹级”漏洞?fastjson漏洞影响深度测量 – 奇安信技术研究院 |
您所在的位置:网站首页 › fastjson漏洞最新bug › 又一”核弹级”漏洞?fastjson漏洞影响深度测量 – 奇安信技术研究院 |
2022年5月23日,fastjson 官方发布安全通报,1.2.80及以下版本存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,漏洞等级为高危,风险影响较大[1]。 fastjson是Java、Android等平台广泛使用的JSON解析库,大量项目将其作为依赖,可谓Java生态最为常用的基础库之一。此漏洞究竟造成多大的影响?奇安信技术研究院星图实验室利用自研的“天问”软件供应链平台对其进行了深度挖掘分析。 一、fastjson漏洞影响有多广泛?在Maven Central这一Java最重要的仓库中,共有近万个Java包受到fastjson漏洞影响,占包总量的2.13%。 截止2022年5月24日,我们发现Maven Central中的9,902个Java包依赖于包含漏洞的fastjson版本,这意味着Maven Central上约2.13%的软件包至少有一个版本受到此漏洞威胁。如果说去年底爆出log4j远程代码执行漏洞是一颗大型核弹的话(影响了约17,000个Java包,占比约4%),fastjson的漏洞影响不亚于一颗中型核弹了。 在Maven Central上,直接依赖了fastjson漏洞版本的Java软件包数量达到了3,845个,占到所有受影响Java包的38.8%,也就是说,有高达61.2%的Java包间接依赖了fastjson(即自身依赖的一个软件包依赖了fastjson)。 图1 直接依赖漏洞软件包(左)和间接依赖漏洞软件包(右) 来源: Google Security Blog 二、有哪些重要项目受影响?分析发现Apache Dubbo、RocketMQ、Beam,阿里巴巴Nacos、Sentinel、京东云Java SDK等重要项目依赖了含漏洞的fastjson版本,使用这些项目的开发者需要密切关注漏洞修复进展,及时更新到补丁版本。 受影响Java软件包说明是否已修复(截止2022-05-24)org.apache.dubbo:dubbo-common最为流行的RPC框架之一,Github超过37.3k的star未修复com.alibaba.csp:sentinel-transport-common阿里巴巴开源项目,Github超过19.1k的star未修复com.alibaba.nacos:nacos-api阿里巴巴开源项目,Github超过22.6k的star |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |