近日,棱镜七彩威胁情报平台监测到,阿里巴巴发布了Fastjson的风险通告,该漏洞等级为高危,可能导致攻击远程服务器,安全风险影响较大。棱镜七彩建议Fastjson用户尽快排查并采取安全措施保障系统安全。
项目介绍
Fastjson由阿里巴巴开发的开源JSON解析库,由JAVA语言编写。Fastjson可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化。
项目主页
GitHub - alibaba/fastjson: A fast JSON parser/generator for Java.
漏洞详情
在Fastjson 1.2.80及以下版本中存在反序列化漏洞,攻击者可以在特定条件下绕过默认autoType关闭限制,从而反序列化有安全风险的类。该漏洞允许远程攻击者在目标机器上执行任意代码。
漏洞等级
高危
CVE编号
暂无
受影响版本
Fastjson ≤ 1.2.80
安全版本
Fastjson 1.2.83
修复方案
通用修复方案
1、目前Fastjson官方已给出解决方案,可升级到安全版本,最新版本链接如下:
https://github.com/alibaba/fastjson/releases/tag/1.2.83
该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到https://github.com/alibaba/fastjson/issues寻求帮助。
2、升级到fastjson v2。
Fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。升级方法可参考:https://github.com/alibaba/fastjson2/issues
Fastjson v2下载链接:https://github.com/alibaba/fastjson2/releases。
临时解决方案
safeMode加固:Fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。
配置方法可参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
想要了解更多相关开源资讯及安全知识
可Weichat联系“Whirl0112“加入棱镜七彩“开源社区生态分享交流群”