漏洞描述

近日，亞信安全CERT監(jiān)控到Fastjson Develop Team發(fā)布安全公告，修復(fù)了一個存在于Fastjson1.2.80及之前版本中的反序列化漏洞。

Fastjson已使用黑白名單用于防御反序列化漏洞，該利用在特定條件下可繞過默認(rèn)autoType關(guān)閉限制，攻擊遠(yuǎn)程服務(wù)器，風(fēng)險影響較大。在默認(rèn)配置下，當(dāng)應(yīng)用或系統(tǒng)使用Fastjson對由用戶可控的JSON字符串進(jìn)行解析時，將可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行的危害 。建議Fastjson用戶盡快采取安全措施保障系統(tǒng)安全。

Fastjson是阿里巴巴的開源JSON解析庫，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。

漏洞編號及評分

暫無

漏洞狀態(tài)

漏洞細(xì)節(jié)：未公開

漏洞PoC：未公開

漏洞EXP：未公開

在野利用：未知

受影響的版本

特定依賴存在下影響 ≤1.2.80

修復(fù)建議

※ 升級到最新版本1.2.83

下載地址：https://github.com/alibaba/fastjson/releases/tag/1.2.83

該版本涉及autotype行為變更，在某些場景會出現(xiàn)不兼容的情況，如遇到問題可以到https://github.com/alibaba/fastjson/issues尋求幫助。

※ safeMode加固

Fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，無論白名單和黑名單，都不支持autoType，可杜絕反序列化Gadgets類變種攻擊（關(guān)閉autoType注意評估對業(yè)務(wù)的影響）

開啟方法：參考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode

使用1.2.83之后的版本是否需要使用safeMode：1.2.83修復(fù)了此次發(fā)現(xiàn)的漏洞，開啟safeMode是完全關(guān)閉autoType功能，避免類似問題再次發(fā)生，這可能會有兼容問題，請充分評估對業(yè)務(wù)影響后開啟。

※ 升級到fastjson v2

fastjson v2地址 https://github.com/alibaba/fastjson2/releases

Fastjson已經(jīng)開源2.0版本，在2.0版本中，不再為了兼容提供白名單，提升了安全性。Fastjson v2代碼已經(jīng)重寫，性能有了很大提升，不完全兼容1.x，升級需要做認(rèn)真的兼容測試。升級遇到問題，可以在https://github.com/alibaba/fastjson2/issues 尋求幫助。

排查建議

? Maven：排查pom.xml，通過搜索Fastjson確定版本號

? 其他項(xiàng)目通過搜索jar文件確定Fastjson版本號

參考鏈接

https://github.com/alibaba/fastjson/wiki/security_update_20220523