Fastjson爆高危漏洞，啟明星辰提供掃描和消控方案

近期，啟明星辰集團北冥數據實驗室在漏洞監控中發現fastjson官方發布公告稱，fastjson 1.2.80及以下存在新的風險，并在第一時間對fastjson官方發布的安全公告進行分析研判，結合泰合盤古平臺（THPangu-OS）的底座能力，為廣大用戶給出應急處置指引方案。

漏洞概述

5月23日，fastjson官方發布公告稱fastjson 1.2.80及以下存在新的風險。fastjson已使用黑白名單用于防御反序列化漏洞，經研究該利用在特定條件下可繞過默認auto Type關閉限制，攻擊遠程服務器，風險影響較大，建議fastjson用戶盡快采取安全措施保障系統安全。

漏洞影響

受影響的產品及版本：

特定依賴存在下影響 fastjson ≤1.2.80

漏洞檢測

啟明星辰天鏡脆弱性掃描與管理系統已緊急發布針對該漏洞的升級包，支持對該漏洞進行授權掃描，用戶升級標準漏洞庫后即可對該漏洞進行掃描：

6070版本升級包為607000436，升級包下載地址：

https://venustech.download.venuscloud.cn/

升級后已支持該漏洞

請使用天鏡脆弱性掃描與管理系統產品的用戶盡快升級到最新版本，及時對該漏洞進行檢測，以便盡快采取防范措施。

修復建議

目前fastjson已發布相關安全更新，建議受影響的用戶及時更新升級更新到 fastJson 版本 1.2.83。

下載鏈接：

https://github.com/alibaba/fastjson/releases/tag/1.2.83

注意該版本涉及autotype行為變更，在某些場景會出現不兼容的情況,若遇到問題可以到 https://github.com/alibaba/fastjson/issues 尋求幫助。

臨時措施

fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，無論白名單和黑名單，都不支持autoType，可杜絕反序列化Gadgets類變種攻擊,但仍需注意關閉autoType后對業務的影響。三種配置SafeMode的方式如下：

1.在代碼中配置：

ParserConfig.getGlobalInstance().setSafeMode(true);

2.加上JVM啟動參數：

-Dfastjson.parser.safeMode=true

如果有多個包名前綴，可用逗號隔開。

3.通過fastjson.properties文件配置：

通過類路徑的fastjson.properties文件來配置，配置方式如下：

fastjson.parser.safeMode=true

參考官方文檔：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode