{"id":204919,"date":"2022-06-16T07:13:00","date_gmt":"2022-06-16T09:13:00","guid":{"rendered":"https:\/\/teknomers.com\/fr\/vulnerabilite-rce-de-haute-gravite-signalee-dans-la-bibliotheque-populaire-fastjson\/"},"modified":"2022-06-16T07:13:01","modified_gmt":"2022-06-16T09:13:01","slug":"vulnerabilite-rce-de-haute-gravite-signalee-dans-la-bibliotheque-populaire-fastjson","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/vulnerabilite-rce-de-haute-gravite-signalee-dans-la-bibliotheque-populaire-fastjson\/","title":{"rendered":"Vuln\u00e9rabilit\u00e9 RCE de haute gravit\u00e9 signal\u00e9e dans la biblioth\u00e8que populaire Fastjson"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9taill\u00e9 une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 de haute gravit\u00e9 r\u00e9cemment corrig\u00e9e dans le populaire <b>Biblioth\u00e8que Fastjson<\/b> qui pourraient \u00eatre potentiellement exploit\u00e9es pour r\u00e9aliser l&#8217;ex\u00e9cution de code \u00e0 distance.<\/p>\n<p>Suivi comme <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-25845\" target=\"_blank\">CVE-2022-25845<\/a> (score CVSS : 8,1), la <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/alibaba\/fastjson\/wiki\/security_update_20220523\" target=\"_blank\">publier<\/a> concerne un cas de <a rel=\"nofollow noopener\" href=\"https:\/\/cwe.mitre.org\/data\/definitions\/502.html\" target=\"_blank\">d\u00e9s\u00e9rialisation des donn\u00e9es non fiables<\/a> dans une fonctionnalit\u00e9 prise en charge appel\u00e9e &#8220;AutoType&#8221;.  Il a \u00e9t\u00e9 corrig\u00e9 par les mainteneurs du projet en <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/alibaba\/fastjson\/releases\/tag\/1.2.83\" target=\"_blank\">version 1.2.83<\/a> sortie le 23 mai 2022.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-github\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Arret-de-loperation-Conti-Ransomware-apres-la-division-en-groupes.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;Cette vuln\u00e9rabilit\u00e9 affecte toutes les applications Java qui reposent sur Fastjson versions 1.2.80 ou ant\u00e9rieures et qui transmettent des donn\u00e9es contr\u00f4l\u00e9es par l&#8217;utilisateur aux API JSON.parse ou JSON.parseObject sans sp\u00e9cifier un sp\u00e9cifique <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Class_(computer_programming)\" target=\"_blank\">classer<\/a> d\u00e9s\u00e9rialiser&#8221;, Uriya Yavnieli de JFrog <a rel=\"nofollow noopener\" href=\"https:\/\/jfrog.com\/blog\/cve-2022-25845-analyzing-the-fastjson-auto-type-bypass-rce-vulnerability\/\" target=\"_blank\">a dit<\/a> dans un \u00e9crit.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/alibaba\/fastjson\" target=\"_blank\">Fastjson<\/a> est une biblioth\u00e8que Java utilis\u00e9e pour convertir des objets Java en leur <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/JSON\" target=\"_blank\">JSON<\/a> repr\u00e9sentation et inversement. <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@knownsec404team\/fastjson-deserialization-vulnerability-history-5206714ceed1\" target=\"_blank\">Autotype<\/a>la fonction vuln\u00e9rable \u00e0 la faille, est activ\u00e9e par d\u00e9faut et est con\u00e7ue pour sp\u00e9cifier un type personnalis\u00e9 lors de l&#8217;analyse d&#8217;une entr\u00e9e JSON qui peut ensuite \u00eatre <a rel=\"nofollow noopener\" href=\"https:\/\/snyk.io\/blog\/serialization-and-deserialization-in-java\/\" target=\"_blank\">d\u00e9s\u00e9rialis\u00e9<\/a> dans un objet de la classe appropri\u00e9e.<\/p>\n<p>&#8220;Cependant, si le JSON d\u00e9s\u00e9rialis\u00e9 est contr\u00f4l\u00e9 par l&#8217;utilisateur, son analyse avec AutoType activ\u00e9 peut entra\u00eener un probl\u00e8me de s\u00e9curit\u00e9 de d\u00e9s\u00e9rialisation, car l&#8217;attaquant peut instancier n&#8217;importe quelle classe disponible sur le <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Classpath\" target=\"_blank\">Chemin de classe<\/a>et alimente son constructeur avec des arguments arbitraires \u00bb, a expliqu\u00e9 Yavnieli.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Alors que les propri\u00e9taires du projet ont pr\u00e9c\u00e9demment introduit un safeMode qui d\u00e9sactive la saisie automatique et a commenc\u00e9 \u00e0 maintenir un <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/LeadroyaL\/fastjson-blacklist\" target=\"_blank\">liste de blocage des classes<\/a> pour se d\u00e9fendre contre les failles de d\u00e9s\u00e9rialisation, la faille nouvellement d\u00e9couverte contourne la derni\u00e8re de ces restrictions pour <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/YoungBear\/FastjsonPoc\" target=\"_blank\">entra\u00eener l&#8217;ex\u00e9cution de code \u00e0 distance<\/a>.<\/p>\n<p>Il est recommand\u00e9 aux utilisateurs de Fastjson de mettre \u00e0 jour vers la version 1.2.83 ou d&#8217;activer safeMode, qui d\u00e9sactive la fonction quelle que soit la liste d&#8217;autorisation et la liste de blocage utilis\u00e9es, fermant efficacement les variantes de l&#8217;attaque de d\u00e9s\u00e9rialisation.<\/p>\n<p>\u00ab Bien qu&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/YoungBear\/FastjsonPoc\" target=\"_blank\">exploit de PoC public<\/a> existe et l&#8217;impact potentiel est tr\u00e8s \u00e9lev\u00e9 (ex\u00e9cution de code \u00e0 distance), les conditions de l&#8217;attaque ne sont pas triviales (transmission d&#8217;entr\u00e9es non fiables \u00e0 des API vuln\u00e9rables sp\u00e9cifiques) et, plus important encore, une recherche sp\u00e9cifique \u00e0 la cible est n\u00e9cessaire pour trouver une classe de gadget appropri\u00e9e \u00e0 exploiter &#8221; dit Yavnieli.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/high-severity-rce-vulnerability.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9taill\u00e9 une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 de haute gravit\u00e9 r\u00e9cemment corrig\u00e9e dans le populaire Biblioth\u00e8que Fastjson qui pourraient \u00eatre potentiellement exploit\u00e9es pour r\u00e9aliser l&#8217;ex\u00e9cution de code \u00e0 distance. Suivi comme CVE-2022-25845 (score CVSS : 8,1), la publier concerne un cas de d\u00e9s\u00e9rialisation des donn\u00e9es non fiables dans une fonctionnalit\u00e9 prise en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":204920,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[17448,4168,4158,4165,4161,429,78939,11128,11685,4157,4159,4171,4170,4167,4160,4163,4162,440,22778,4172,4169,9499,4166,3667,4164],"class_list":["post-204919","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-bibliotheque","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-fastjson","tag-gravite","tag-haute","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-populaire","tag-rce","tag-securite-informatique","tag-securite-internet","tag-signalee","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/204919","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=204919"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/204919\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/204920"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=204919"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=204919"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=204919"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}