分析FastJson 的最近爆出OOM内存溢出 bug

╰+哭是因爲堅強的太久メ 2024-04-18 14:18 17阅读 0赞

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70][]

最近接到通知,需要进行升级 (阿里)fastjson 的maven 版本号,

![2019090722251946.png][]

最升级到指定的版本,需要测试发布再次验证 ,啊周末需要加班了.

![20190907222300476.png][]

为什么要进行升级呢,一接到这个通知,我就考虑中,以前是有通知了 不过没有这么急啊,后来其他事情耽搁了,就没有改.

**之前一直网络上报出的问题是这样的:**

fastjson出现高危远程代码执行漏洞，该漏洞是fastjson于2017年爆出的远程代码执行漏洞新的绕过利用方式，攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 这样的情况这边就不演示了,这篇博客**主要针对**最近的 FastJson 可能导致的OOM bug

不过,这次还是这样的问题吗?我本能的开始怀疑了,找安全的同事一聊后知道了,问题的所在出,没有我们想的那么简单

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 1][]

感兴趣的同学可以 到这里**[ 看一下   ][Link 1]**感谢360团队,这里我发现许多公众号也是抄的这里的,并没有写出转载的地址.不尊重原创 可耻

我们简单的分析一下问题 和 写一个简单的Demo 进行复现这样有理有据:

其中有一部分引用360团队的分析报告:

起因,事情的背景

1.  2019年9月5日，360CERT监测到2019年9月3日fastjson在commit `995845170527221ca0293cf290e33a7d6cb52bf7`上提交了旨在修复当字符串中包含\\x转义字符时可能引发OOM的问题的修复。

360CERT 判断该漏洞危害中。影响面较大。攻击者可以通过发送构造好的请求而致使当前线程瘫痪，当发送的恶意请求过多时有可能使业务直接瘫痪。

建议广大用户对自身的业务/产品进行组件自查，防止自身业务受到攻击。

2  这个漏洞详情:

漏洞的关键点在`com.alibaba.fastjson.parser.JSONLexerBase#scanString`中，当传入json字符串时，fastjson会按位获取json字符串，当识别到字符串为`\x`为开头时，会默认获取后两位字符，并将后两位字符与`\x`拼接将其变成完整的十六进制字符来处理：

使用的maven版本是:

`      <dependency>     <groupId>com.alibaba</groupId>     <artifactId>fastjson</artifactId>     <version>1.2.30</version> </dependency>`

类的位置: package com.alibaba.fastjson.parser; 方法是 copyTo

![20190907230602477.png][]

## ##

** ** 而当json字符串是以`\x`结尾时，由于fastjson并未对其进行校验，将导致其继续尝试获取后两位的字符。也就是说会直接获取到`\u001A`也就是EOF：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 2][]

### 当fastjson再次向后进行解析时，会不断重复获取EOF，并将其写到内存中，直到触发`oom`错误： ###

不断的获取 EOF的值,相当于是死循环.

正常情况下的我 cpu 的情况是这样的

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 3][]

抛出的异常是这样的

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 4][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 5][]

方法开始执行后我cpu 的情况

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 6][]

这边贴出我的代码:

这上面有导出的包,使用的idea编译器,maven版本是:

<dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>fastjson</artifactId>
        <version>1.1.30</version>
    </dependency>

import com.alibaba.fastjson.JSON;
    import com.alibaba.fastjson.parser.JSONLexerBase;
    import com.alibaba.fastjson.JSONObject;
    
    import java.io.UnsupportedEncodingException;
    import java.net.URLDecoder;
    
    public class TestJsonDemo {
        public static void main(String[] args) throws Exception {
            String line = new String("[{\\x22a\\x22:\\x22a\\xB1ph.\\xCD\\x86\\xBEI\\xBA\\xC3\\xBCiM+\\xCE\\xCE\\x1E\\xDF7\\x1E\\xD9z\\xD9Q\\x8A}\\xD4\\xB2\\xD5\\xA0y\\x98\\x08@\\xE1!\\xA8\\xEF^\\x0D\\x7F\\xECX!\\xFF\\x06IP\\xEC\\x9F[\\x85;\\x02\\x817R\\x87\\xFB\\x1Ch\\xCB\\xC7\\xC6\\x06\\x8F\\xE2Z\\xDA^J\\xEB\\xBCF\\xA6\\xE6\\xF4\\xF7\\xC1\\xE3\\xA4T\\x89\\xC6\\xB2\\x5Cx]");
            line = line.replaceAll("\\\\x", "%");
            String decodeLog = URLDecoder.decode(line, "UTF-8");
            JSON.parse(decodeLog);
        }
    }

社区的精彩仅供常考:

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 7][]

感兴趣的可以自己去[看一下][Link 2]

解决后的代码是这样的:

src/main/java/com/alibaba/fastjson/parser/JSONLexerBase.java

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 8][]

package com.alibaba.json.bvt.issue_2600;
    
    import com.alibaba.fastjson.JSON;
    import com.alibaba.fastjson.JSONException;
    import junit.framework.TestCase;
    
    import java.net.URLDecoder;
    
    public class Issue2689 extends TestCase {
    
        final String DEATH_STRING = "{\"a\":\"\\x";
    
        public void test_OOM() throws Exception {
    
            String line = new String("[{\\x22a\\x22:\\x22a\\xB1ph.\\xCD\\x86\\xBEI\\xBA\\xC3\\xBCiM+\\xCE\\xCE\\x1E\\xDF7\\x1E\\xD9z\\xD9Q\\x8A}\\xD4\\xB2\\xD5\\xA0y\\x98\\x08@\\xE1!\\xA8\\xEF^\\x0D\\x7F\\xECX!\\xFF\\x06IP\\xEC\\x9F[\\x85;\\x02\\x817R\\x87\\xFB\\x1Ch\\xCB\\xC7\\xC6\\x06\\x8F\\xE2Z\\xDA^J\\xEB\\xBCF\\xA6\\xE6\\xF4\\xF7\\xC1\\xE3\\xA4T\\x89\\xC6\\xB2\\x5Cx]");
            line = line.replaceAll("\\\\x", "%");
            String decodeLog = URLDecoder.decode(line, "UTF-8");
            System.out.println(decodeLog);
            try {
                Object obj = JSON.parse(decodeLog);
                obj = JSON.parse(DEATH_STRING);
            } catch (Exception e) {
                assertEquals(e.getClass(), JSONException.class);
                assertTrue(e.getMessage().contains("invalid escape character \\x"));
            }
        }
    }

测试代码的引用地址:  [this][]

# #

## 影响版本 ##

fastjson < 1.2.60版本

## 360给出的修复建议 ##

*  1.1.15~1.1.31版本更新到1.1.31.sec07版本
 *  1.1.32~1.1.33版本更新到1.1.33.sec06版本
 *  1.1.34 版本更新到1.1.34.sec06版本
 *  1.1.35~1.1.46版本更新到1.1.46.sec06版本
 *  1.2.3~1.2.7版本更新到1.2.7.sec06版本或1.2.8.sec04版本
 *  1.2.8 版本更新到1.2.8.sec06版本
 *  1.2.9~1.2.29 版本更新到1.2.29.sec06版本

更新 :Fastjson<=1.2.68远程代码执行漏洞  时间20年05-28

[原文地址->][-]

autotype开关的限制可被绕过，然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。

漏洞实际造成的危害与 gadgets 有关，gadgets中使用的类必须不在黑名单中，本漏洞无法绕过黑名单的限制。

## 风险等级 ##

**高风险**

## 漏洞风险 ##

远程代码执行，获取服务器系统权限

## 影响版本 ##

Fastjson <= 1.2.68

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/0ce2daebad0749a3a135f47385def47f.png
[2019090722251946.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/4deab0ddd3714826b563f8bd67a901fa.png
[20190907222300476.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/9208f59cc195459da9a7f4bb0bb8d7e8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 1]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/7b0b60ce7c9842569f7d90b4f36190cc.png
[Link 1]: https://cert.360.cn/warning/detail?id=82a509e4543433625d6fe4361b5802c9
[20190907230602477.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/50c0d8ca521549f7958e9de0f749bbd2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 2]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/4da113a702d045a3a9422fbb1704c853.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 3]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/9c4b3770e8154abfa37a30a9cf418dfc.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 4]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/2166fec5b1cd432485f206dbcc81f7a2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 5]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/96c04beffd0149329024302d9c3a1f2c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 6]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/5e7ee176c551421cbeab9bf651324c0e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 7]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/ab2eac11ed5144319fdbd81927641952.png
[Link 2]: https://github.com/alibaba/fastjson/issues/2689
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MjExNDA5Nw_size_16_color_FFFFFF_t_70 8]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/dd8168c15038423293fb4c42a8a8513e.png
[this]: https://github.com/alibaba/fastjson/pull/2692/commits/b44900e5cc2a0212992fd7f8f0b1285ba77bb35d
[-]: https://www.nsfocus.com.cn/html/2020/39_0528/916.html