【漏洞通告】Fastjson反序列化漏洞

2022年5月26日17:46:02评论108 views字数 825阅读2分45秒阅读模式

漏洞概述

Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点，应用范围广泛。

近日，Fastjson官方发布安全公告，在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞，攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制，从而反序列化有安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。

影响范围

Fastjson <= 1.2.80

Fastjson 1.x >= 1.2.83

Fastjson 2.x

修复建议

1、更新到1.2.83及以上版本

目前Fastjson已发布修复版本，可升级至最新版本 Fastjson 1.2.83：

https://github.com/alibaba/Fastjson/releases/tag/1.2.83

2、升级到fastjson v2

fastjson已经开源2.0版本，在2.0版本中，不再为了兼容提供白名单，提升了安全性。fastjson v2代码已经重写，性能有了很大提升，不完全兼容1.x，升级需要做兼容测试：

https://github.com/alibaba/Fastjson2/releases

2、开启safeMode功能

Fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可杜绝反序列化Gadgets类变种攻击。开启方法请参见：

https://github.com/alibaba/Fastjson/wiki/Fastjson_safemode

需要注意的是开启该功能后，将不支持autoType，可能会对业务产生影响，请充分评估对业务影响后开启。

【漏洞通告】Fastjson反序列化漏洞

原文始发于微信公众号（第59号）：【漏洞通告】Fastjson反序列化漏洞

GL.iNet 路由器身份验证绕过漏洞 (CVE-2023-46453)