作者: 时间:2022-05-27 点击数:

阿里巴巴 Fastjson Develop Team 发布安全公告称 Fastjson 1.2.80 及以下版本上存在反序列化漏洞,在特定条件下可绕过默认 autoType关闭限制,通过反序列化有安全风险的类最终可导致远程代码执行,从而控制目标主机。鉴于 Fastjson被广泛应用于开发环境中,因此该漏洞影响范围极大,建议互联网企业、开发单位尽快自查使用情况,采取以下措施进行防护。


Fastjson是由阿里巴巴开发的开源JSON解析库,由JAVA语言编写。Fastjson可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,在Web开发环境中应用范围非常广泛


Fastjson1.2.80 及以下版本存在反序列化漏洞,攻击者可以在特定条件下绕过默认autoType关闭限制,从而反序列化有安全风险的类。该漏洞允许远程攻击者在目标机器上执行任意代码。




漏洞名称:Fastjson反序列化漏洞


漏洞编号暂无


危害等级:


受影响版本


· Fastjson <= 1.2.80


不受影响版本

·Fastjson1.x >= 1.2.83

修补建议


目前Fastjson Develop Team 已在1.2.83 版本修复上述漏洞,请尽快更新至安全版本。下载链接:
https://github.com/alibaba/fastjson/releases/tag/1.2.83



注:该版本涉及autotype 行为变更,在某些场景会出现不兼容的情况,若遇到问题可以到https://github.com/alibaba/fastjson/issues寻求帮助。


缓解措施

在Fastjson 1.2.68 版本及之后的版本可通过开启safeMode 功能来关闭autoType 功能从而杜绝反序列化 Gadgets 类变种攻击。开启方法请参考:


https://github.com/alibaba/Fastjson/wiki/Fastjson_safemode
注意开启后,将不支持autoType,可能会对业务产生影响。



考链接


[1]https://github.com/alibaba/Fastjson/wiki/security_update_20220523

[2]https://github.com/alibaba/fastjson2/releases

[3]https://github.com/alibaba/fastjson/releases/tag/1.2.83

信息来源:广东省网络安全应急响应中心

地址:辽宁省沈抚示范区滨河路东段1号 邮编:113122

Baidu
map