Fastjson 反序列化遠程代碼執行漏洞

 Fastjson 反序列化遠程代碼執行漏洞

Fastjson 是一款開源的高性能 JSON 解析處理庫，在國內被廣泛使用。5 月 23 日，Fastjson 官方發布安全通告，聲明修復了一處新的反序列化漏洞：

https://github.com/alibaba/fastjson/wiki/security_update_20220523

漏洞描述

Fastjson 基于黑白名單對反序列化漏洞進行防御，但在 Fastjson 1.2.80 及之前的版本中，這些防御機制可被繞過。從而使得默認配置下，當應用或系統使用 Fastjson 對由用戶可控的 JSON 字符串進行解析時，將可能導致遠程代碼執行的危害。

影響范圍

特定依賴存在下影響 Fastjson ≤1.2.80 版本。

解決方案

用戶可參考官方給出的以下方案進行漏洞修復：

1. 升級到最新版本 1.2.83

用戶可通過將版本升級到 1.2.83 修復此漏洞。注意該版本涉及autoType行為變更，在某些場景會出現不兼容的情況。

2. safeMode 加固

Fastjson在 1.2.68 及之后的版本中引入了 safeMode，配置 safeMode 后，無論白名單和黑名單，都不支持 autoType，可杜絕像此類反序列化Gadgets類變種攻擊（關閉autoType注意評估對業務的影響）。因此 1.2.68 及之后版本的用戶若無法通過版本升級來修復漏洞，可考慮配置開啟 safeMode，具體參考：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

從長遠角度來看，用戶也可考慮替換 Fastjson 為 Gson 等更安全的 JSON 解析庫。

產品支持

雷池：目前已默認支持防護。為支持該漏洞的利用檢測，請確保配置項【防護策略管理-防護策略詳情-攻擊檢測配置-情報規則-檢測Fastjson漏洞】為開啟狀態。

牧云：可通過更新漏洞檢測補丁，對服務器進行持續監測和漏洞識別。