关于Fastjson反序列化远程代码执行漏洞的风险预警

2022-05-31网络信息中心

一、漏洞描述

Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。Fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。

攻击者利用此漏洞可在目标服务器上实现任意代码执行,造成服务器权限被窃取、敏感信息泄漏等严重影响。

二、危害级别

高危

三、影响版本 

Fastjson <= 1.2.80

四、修复建议

1、目前阿里巴巴公司已发布Fastjson 1.2.83版本修复此漏洞,可升级更新。下载地址:https://github.com/alibaba/Fastjson/releases/tag/1.2.83。

2、如暂时不能升级的用户可参考临时缓解措施:fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。

开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。