Fastjson反序列化漏洞安全通告

近日，沈阳网络安全协会信息通报机制合作单位新华三集团（H3C）提醒，Fastjson官方发布了安全公告，解决了在Fastjson中存在的一个反序列化漏洞，请受影响用户尽快安装更新补丁，避免受到影响。

1漏洞综述

1.1 漏洞背景

Fastjson是阿里巴巴公司的一个开源java库，可用于将Java对象转换为其JSON表示，还可用于将JSON字符串转换为等效的Java对象，其性能从未被其他Java实现的JSON库超越。

1.2 漏洞原理

该漏洞是由于Fastjson在1.2.80及以下版本中使用黑白名单用于防御反序列化漏洞，但是该防御策略在特定条件下可绕过默认 autoType。恶意攻击者通过发送特制的反序列化数据至服务器，能够在目标系统上执行任意代码。

2影响范围

Fastjson <= 1.2.80

相关用户可使用以下命令检测当前使用的Fastjson版本：

lsof | grep fastjson

3处置方法

3.1官方补丁

目前官方已发布更新补丁，请受影响用户及时关注并尽快更新，官方链接：https://github.com/alibaba/fastjson/releases/tag/1.2.83

3.2 开启安全模式

fastjson 在 1.2.68 及以后的版本引入了safeMode，配置该模式之后，无论白名单和黑名单，都不支持 autoType，可杜绝反序列化Gadgets类变种攻击（关闭autoType前请评估对业务的影响），配置safeMode方法可参考官方链接：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

3.3 升级到 Fastjson v2

Fastjson v2版本已经发布，2.0版本不受此反序列化漏洞影响，但是不完全兼容1.x版本，升级前需要做兼容测试，可参考官方链接：https://github.com/alibaba/fastjson2/releases

原文始发于微信公众号（沈阳网络安全协会）：Fastjson反序列化漏洞安全通告