引言

昨天，我收到了集團(tuán)安全部門的告警消息：Fastjson≤1.2.80版本存在反序列化漏洞，好家伙，著手開搞，這又是一個(gè)不眠夜的開始，哦，為什么說(shuō)“又”呢？還記得去年12月份log4j2報(bào)過(guò)重大安全漏洞……

風(fēng)險(xiǎn)描述

fastjson已使用黑白名單用于防御序列化漏洞，經(jīng)研究該利用在特定條件下可繞過(guò)默認(rèn)autoType關(guān)閉限制，攻擊遠(yuǎn)程服務(wù)器，風(fēng)險(xiǎn)影響較大。建議fastjson用戶盡快采取安全措施保障系統(tǒng)安全

影響版本

Fastjson≤1.2.80

解決方案1：升級(jí)到最新版本1.2.83

注意，該版本涉及autotype行為變更，在某些場(chǎng)景會(huì)出現(xiàn)不兼容弄的情況。

下載地址：

https://github.com/alibaba/fastjson/releases/tag/1.2.83

解決方案2：safeMode加固

fastjson在1.2.68級(jí)之后的版本中引入了safeMode，配置safeMode后，無(wú)論白名單和黑名單，都不支持autoType，可杜絕反序列化Gadgets類變種攻擊（關(guān)閉autoType注意評(píng)估對(duì)業(yè)務(wù)的影響）。

開啟方法：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

1.2.83修復(fù)了此次發(fā)現(xiàn)的漏洞，開啟safeMode是完全關(guān)閉autoType功能，避免類似問題再次發(fā)生，這可能會(huì)有兼容問題，請(qǐng)充分評(píng)估對(duì)業(yè)務(wù)影響后開啟。

解決方案3：升級(jí)到fastjson v2

fastjson已經(jīng)開源2.0版本，在2.0版本中，不再為了兼容提供白名單，提升了安全性。fastjson v2代碼已經(jīng)重寫，性能有了很大提升，不完全兼容1.x，升級(jí)需要做認(rèn)真的兼容測(cè)試。

下載地址：https://github.com/alibaba/fastjson2/releases

寫在最后

好兄弟可以點(diǎn)贊并關(guān)注我的公眾號(hào)“javaAnswer”，全部都是干貨。