分享到:
安全公告

Fastjson <=1.2.80 反序列化远程代码执行漏洞预警

发布时间:2022/5/26 10:03:19     阅读:2614 次

一、概要

近日,我们关注到Fastjson <= 1.2.80的版本中存在新的Gadgets可造成反序列化远程代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,实现反序列化远程代码执行,进而攻击目标服务器,风险较高。

我们提醒使用fastjson的用户尽快安排自检并做好安全加固。

参考链接:https://github.com/alibaba/fastjson/wiki/security_update_20220523

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

受影响版本:Fastjson <= 1.2.80

安全版本:Fastjson 1.2.83

四、漏洞处置

漏洞的利用前提是开启了autoType功能,若用户使用到了受影响版本且开启了autotype,则受影响。 目前官方已在最新版本中更新了autotype安全黑名单修复了该漏洞,请受影响的用户尽快升级至安全版本。

下载地址:https://github.com/alibaba/fastjson/releases/tag/1.2.83

若无法及时升级,可参考官方公告中提供的规避措施进行风险规避:

1. Fastjson 1.2.68版本引入了safeMode配置,用户需先升级到Fastjson 1.2.68 版本,通过开启SafeMode 来防护攻击(开启safeMode后,无论白名单和黑名单,都不支持autoType,操作前请评估对业务影响)。开启方法参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode

2. 升级到fastjson v2,fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。

 

注意:修复漏洞前请将资料备份,并进行充分测试。

作者:
来源:
关键词:
[创新地理知识·共享地理价值]
服务热线