漏洞一:
fastjson <= 1.2.80 反序列化任意代码执行漏洞。
修复建议:
1、升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83 。该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。
2、fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
3、因升级版本可能带来兼容性问题,可使用noneautotype版本,参考:https://github.com/alibaba/fastjson/wiki/security_update_20220523
4、迁移升级使用fastjson v2 ,可参考 https://github.com/alibaba/fastjson2/releases
漏洞二:
Tomcat websocket 拒绝服务漏洞利用代码披露(CVE-2020-13935)
修复建议:
1、升级至Apache Tomcat至安全版本及其以上。
2、若无特殊需要,关闭Tomcat Websocket功能,删除example下的websocket示例。
漏洞三:
polkit pkexec 本地提权漏洞(CVE-2021-4034)
修复建议:
1、无法升级软件修复包的,可使用以下命令删除pkexec的SUID-bit权限来规避漏洞风险: chmod 0755 /usr/bin/pkexec
示例:
# ll /usr/bin/pkexec
-rwsr-xr-x 1 root root /usr/bin/pkexec
# chmod 0755 /usr/bin/pkexec
# ll /usr/bin/pkexec
-rwxr-xr-x 1 root root /usr/bin/pkexec
执行前权限一般为-rwsr-xr-x ,删除SUID-bit权限后一般为-rwxr-xr-x 2、CentOS 7的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复),Centos 5、6、8官方已终止生命周期 (EOL)维护,建议停止使用; 3、RedHat用户建议联系红帽官方获取安全修复源后执行yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复); 4、Alibaba Cloud Linux的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复); 5、Anolis OS(龙蜥)的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复); 6、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS的用户可通过apt update policykit-1升级修复,Ubuntu 14.04、16.04、12.04官方已终止生命周期 (EOL)维护,修复需要额外付费购买Ubuntu ESM(扩展安全维护)服务,建议停止使用; 7、其他Linux发行版操作系统OS建议联系官方寻求软件包修复源。
漏洞四:
RHSA-2022:0274: polkit pkexec 本地提权漏洞(CVE-2021-4034)
修复建议:
yum update polkit