漏洞公告
近日,安恒信息CERT监测到Fastjson官方发布安全公告,修复了一处反序列化漏洞,攻击者在特定条件下可绕过默认autoType关闭限制,利用该漏洞攻击远程服务器,风险较大。目前官方已发布最新安全版本,建议使用该组件的用户尽快采取安全措施。
参考链接:
https://github.com/alibaba/fastjson/wiki/security_update_20220523
一
影响范围
受影响版本:
Fastjson≤1.2.80
二
漏洞描述
Fastjson是阿里巴巴开源的Java对象和JSON格式字符串的快速转换的工具库。近日Fastjson官方发布 Fastjson <= 1.2.80 存在反序列化漏洞,该漏洞源于可以在特定条件下绕过默认autoType关闭限制,攻击者可以利用该漏洞攻击远程服务器。
| 细节是否公开 | POC状态 | EXP状态 | 在野利用 |
| 否 | 未知 | 未知 | 未知 |
三
缓解措施
高危:目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议部署相关产品的用户及时测试并升级到漏洞修复的版本。
官方修复建议:
1.可升级到Fastjson v2 ,下载地址:https://github.com/alibaba/fastjson2/releases
2.升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83 。该版本涉及autotype行为变更,在某些场景会出现不兼容的情况。
3.配置safeMode,Fastjson在1.2.68及之后的版本中引入了safeMode,开启safeMode配置后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击。(注意:关闭autoType请评估对业务的影响。)
安恒信息CERT
2022年5月
原文始发于微信公众号(安恒信息CERT):Fastjson反序列化漏洞风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论