【安全狗高危安全通告】fastjson≤1.2.80反序列化漏洞解决方案

安全狗应急响应中心监测到Fastjson官方发布，Fastjson≤1.2.80版本中存在反序列化漏洞。攻击者可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。

 

在此，安全狗建议fastjson用户尽快采取安全措施保障系统安全。

漏洞描述

fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，由于具有执行效率高的特点，应用范围广泛。

fastjson已使用黑白名单用于防御反序列化漏洞，经研究该利用在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。

安全通告信息

漏洞名称	fastjson≤1.2.80反序列化任意代码执行漏洞
漏洞影响版本	fastjson≤1.2.80
漏洞危害等级	高危
厂商是否已发布漏洞补丁	是
版本更新地址	https://github.com/alibaba/fastjson/releases/tag/1.2.83
安全狗总预警期数	226
安全狗发布预警日期	2022年5月23日
安全狗更新预警日期	2022年5月23日
发布者	安全狗海青实验室

官方安全建议

1、升级到最新版本1.2.83 

https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇遇到问题可以到

https://github.com/alibaba/fastjson/issues寻求帮助。

2、fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可杜绝反序列化Gadgets类变种攻击（关闭autoType注意评估对业务的影响）。

开启方法可参考

https://github.com/alibaba/fastjson/wiki/fastjson_safemode。

1.2.83修复了此次发现的漏洞，开启safeMode是完全关闭autoType功能，避免类似问题再次发生，这可能会有兼容问题，请充分评估对业务影响后开启。

3、可升级到fastjson v2，

https://github.com/alibaba/fastjson2/releases

参考链接如下：

https://github.com/alibaba/fastjson/wiki/security_update_20220523