1、漏洞概述
近日,WebRAY安全服務產品線監測到Fastjson官方釋出公告,修復了一個存在Fastjson1.2.80版本以及之前的版本的反序列化漏洞。
Fastjson是一個由Java語言編寫的高效能JSON庫,它採用名為“假定有序快速匹配”的演算法將JSON Parse的效能提升到極致。由於Fastjson介面簡單易用,目前已被廣泛使用在快取序列化、協議互動、Web輸出、Android客戶端等多種應用場景中。
由於Fastjson基於autoType黑白名單對反序列化漏洞進行防禦的安全機制存在缺陷,成功利用該缺陷可繞過autoType的防禦機制,從而導致Fastjson將存在風險的類進行反序列化處理,以達到執行遠端程式碼的目的。
WebRAY安全服務產品線也將持續關注該漏洞進展,並及時為您更新該漏洞資訊。
2、影響範圍
漏洞元件 | 漏洞型別 | 影響版本 |
Fastjson | 反序列化漏洞 | Fastjson 1.2.80 |
3、漏洞等級
WebRAY安全服務產品線風險評級:高危
4、修復建議
1. 升級到新版本1.2.83,下載地址:
https://github.com/alibaba/fastjson/releases/tag/1.2.83 (該版本涉及autotype行為變更,在某些場景會出現不相容的情況,如遇到問題可以到 https://github.com/alibaba/fastjson/issues 尋求幫助。)
2. 可升級到fastjson v2 ,參考地址:
https://github.com/alibaba/fastjson2/releases
3. fastjson在1.2.68及之後的版本中引入了safeMode,配置safeMode後,無論白名單和黑名單均不支援autoType。當配置完成後可有效防止反序列化Gadgets類變種攻擊。開啟方法可參考地址:
https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。