您当前的位置: 首页 - 网络管理部

关于Fastjson反序列化漏洞的安全预警

时间:2024-05-01 阅读:

近日接多渠道漏洞通报,阿里巴巴的开源JSON解析库Fastjson存在反序列化漏洞,具有导致远程代码执行的安全风险。建议师生和学校信息服务运维厂商认真排查是否使用Fastjson解析库,及时检查和升级到安全版本,避免对主机和信息服务带来网络安全风险和发生网络安全事件。


漏洞详情和处置建议如下:


漏洞详情:


Fastjson由阿里巴巴开发的开源JSON解析库,由JAVA语言编写。Fastjson可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。


Fastjson已使用黑白名单用于防御反序列化漏洞,该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。在默认配置下,当应用或系统使用Fastjson对由用户可控的JSON字符串进行解析时,将可能导致远程代码执行的危害。


影响范围:


Fastjson <= 1.2.80


处置建议:


目前厂商已发布漏洞修复方案,建议相关用户尽快采取安全措施。


1、升级到最新版本1.2.83


该版本涉及autotype行为变更,在某些场景会出现不兼容的情况。


下载地址:https://github.com/alibaba/fastjson/releases/tag/1.2.83


2、safeMode加固


Fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType(关闭 autoType需要注意评估业务影响),可杜绝反序列化Gadgets类变种攻击。


开启方法:参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode


3、升级到fastjson v2


Fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做兼容测试。


fastjson v2地址:https://github.com/alibaba/fastjson2/releases


在上述操作中,如遇到问题可以到https://github.com/alibaba/fastjson/issues寻求帮助。


参考链接:https://github.com/alibaba/fastjson/wiki/security_update_20220523




信息来源:


哈尔滨工业大学网络与信息中心:http://ito.hit.edu.cn/


大连理工大学网络与信息中心:http://its.dlut.edu.cn/


360CERT:https://cert.360.cn/warning/detail?id=7b24e1dffd6ac462aa62e42be3c50114


Baidu
map