0x00背景介绍
5月23日,天融信阿尔法实验室监测到Fastjson发布安全公告,Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。
0x01漏洞描述
0x02漏洞编号
暂无
0x03漏洞等级
严重
0x04受影响版本
特定依赖存在下影响 ≤1.2.80
0x05修复建议
-
升级到最新版本1.2.83,该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到下方链接处寻求帮助。
下载地址:
https://github.com/alibaba/fastjson/releases/tag/1.2.83
帮助链接:https://github.com/alibaba/fastjson/issues
-
Fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType时,需要评估其对业务的影响)
i.开启方法参考 :
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
ii.使用1.2.83之后的版本是否需要使用safeMode,1.2.83修复了此次发现的漏洞,通过开启safeMode配置完全禁用autoType,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
-
升级到Fastjson v2 , Fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。
Fastjson v2下载地址 :
https://github.com/alibaba/fastjson2/releases
参考链接:
https://github.com/alibaba/fastjson/wiki/security_update_20220523
0x06声明
天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
天融信
阿尔法实验室
长按二维码关注我们
原文始发于微信公众号(天融信阿尔法实验室):【风险提示】天融信关于Fastjson反序列化任意代码执行漏洞风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论