【漏洞通告】Fastjson反序列化漏洞

admin 2022年5月26日17:46:02安全漏洞评论49 views825字阅读2分45秒阅读模式
【漏洞通告】Fastjson反序列化漏洞
01
漏洞概述


Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。

近日,Fastjson官方发布安全公告,在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。

【漏洞通告】Fastjson反序列化漏洞
02
影响范围
  • 受影响版本

Fastjson <= 1.2.80

  • 不受影响版本

Fastjson 1.x >= 1.2.83

Fastjson 2.x

【漏洞通告】Fastjson反序列化漏洞
03
修复建议
1、更新到1.2.83及以上版本

目前Fastjson已发布修复版本,可升级至最新版本 Fastjson 1.2.83:

https://github.com/alibaba/Fastjson/releases/tag/1.2.83

2、升级到fastjson v2
fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做兼容测试:
https://github.com/alibaba/Fastjson2/releases
2、开启safeMode功能
Fastjson1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击。开启方法请参见
https://github.com/alibaba/Fastjson/wiki/Fastjson_safemode

需要注意的是开启该功能后,将不支持autoType,可能会对业务产生影响,请充分评估对业务影响后开启。

【漏洞通告】Fastjson反序列化漏洞


【漏洞通告】Fastjson反序列化漏洞

原文始发于微信公众号(第59号):【漏洞通告】Fastjson反序列化漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月26日17:46:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞通告】Fastjson反序列化漏洞 http://cn-sec.com/archives/1053027.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: