注意更新 | Fastjson反序列化漏洞
0x01
漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 未知 未知 未知 未知 |
0x02
漏洞描述
Fastjson是一個Java語言編寫的JSON庫。
近日,Fastjson Develop Team發布安全公告,修復了一個存在于Fastjson1.2.80 及之前版本中的反序列化漏洞。漏洞編號:暫無,漏洞威脅等級:高危。
該漏洞風險影響較大。建議Fastjson 用戶盡快采取安全措施保障系統安全。
Fastjson反序列化漏洞
Fastjson反序列化漏洞 漏洞編號 暫無 漏洞類型 反序列化 漏洞等級 高危 公開狀態 未知 在野利用 未知 漏洞描述 Fastjson1.2.80及以下版本存在反序列化漏洞,Fastjson已使用黑白名單用于防御反序列化漏洞,但在特定條件下可繞過默認autoType關閉限制,攻擊遠程服務器。 |
0x03
漏洞等級
高危
0x04
影響版本
Fastjson <=1.2.80
0x05
修復建議
臨時防護方案
開啟safeMode加固:
fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,無論白名單和黑名單,都不支持autoType,可杜絕反序列化Gadgets類變種攻擊(關閉autoType注意評估對業務的影響)
1.2.83修復了此次發現的漏洞,開啟safeMode是完全關閉autoType功能,避免類似問題再次發生,這可能會有兼容問題,請充分評估對業務影響后開啟。
正式防護方案
廠商已在1.2.83版本修復上述漏洞,用戶請盡快更新至安全版本。下載鏈接:
https://github.com/alibaba/fastjson/releases/tag/1.2.83
Fastjson已經開源2.0版本,在2.0版本中,不再為了兼容提供白名單,提升了安全性。fastjson v2代碼已經重寫,性能有了很大提升,不完全兼容1.x,升級需要做認真的兼容測試。下載鏈接:
https://github.com/alibaba/fastjson2/releases
與此同時,建議您執行以下的操作,提供您系統整體安全性,減少被黑客攻擊的風險。
1、及時更新防火墻策略
2、建議使用360態勢感知,加強監控和防護
3、如無必要,禁止主機外連
4、加強等級保護相關合規工作
5、及時更新安全補丁
