阿里巴巴 Fastjson Develop Team 发布安全公告称 Fastjson 1.2.80 及以下版本上存在反序列化漏洞,在特定条件下可绕过默认 autoType关闭限制,通过反序列化有安全风险的类最终可导致远程代码执行,从而控制目标主机。鉴于 Fastjson被广泛应用于开发环境中,因此该漏洞影响范围极大,建议互联网企业、开发单位尽快自查使用情况,采取以下措施进行防护。
Fastjson是由阿里巴巴开发的开源JSON解析库,由JAVA语言编写。Fastjson可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,在Web开发环境中应用范围非常广泛。
Fastjson1.2.80 及以下版本存在反序列化漏洞,攻击者可以在特定条件下绕过默认autoType关闭限制,从而反序列化有安全风险的类。该漏洞允许远程攻击者在目标机器上执行任意代码。
漏洞名称:Fastjson反序列化漏洞
漏洞编号:暂无
危害等级:高
受影响版本
不受影响版本
· Fastjson1.x >= 1.2.83
修补建议
目前Fastjson Develop Team 已在1.2.83 版本修复上述漏洞,请尽快更新至安全版本。下载链接:
https://github.com/alibaba/fastjson/releases/tag/1.2.83
注:该版本涉及autotype 行为变更,在某些场景会出现不兼容的情况,若遇到问题可以到https://github.com/alibaba/fastjson/issues寻求帮助。
缓解措施
在Fastjson 1.2.68 版本及之后的版本可通过开启safeMode 功能来关闭autoType 功能从而杜绝反序列化 Gadgets 类变种攻击。开启方法请参考:
https://github.com/alibaba/Fastjson/wiki/Fastjson_safemode
注意开启后,将不支持autoType,可能会对业务产生影响。
[1]https://github.com/alibaba/Fastjson/wiki/security_update_20220523
[2]https://github.com/alibaba/fastjson2/releases
[3]https://github.com/alibaba/fastjson/releases/tag/1.2.83
信息来源: 广东省网络安全应急响应中心