烽火狼烟丨Fastjson反序列化漏洞风险提示

发布者:盛邦安全
发布于:2022-05-25 11:34

1、漏洞概述


近日,WebRAY安全服务产品线监测到Fastjson官方发布公告,修复了一个存在Fastjson1.2.80版本以及之前的版本的反序列化漏洞。


Fastjson是一个由Java语言编写的高性能JSON库,它采用名为“假定有序快速匹配”的算法将JSON Parse的性能提升到极致。由于Fastjson接口简单易用,目前已被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景中。


由于Fastjson基于autoType黑白名单对反序列化漏洞进行防御的安全机制存在缺陷,成功利用该缺陷可绕过autoType的防御机制,从而导致Fastjson将存在风险的类进行反序列化处理,以达到执行远程代码的目的。


WebRAY安全服务产品线也将持续关注该漏洞进展,并及时为您更新该漏洞信息。


2、影响范围


漏洞组件

漏洞类型

影响版本

Fastjson

反序列化漏洞

Fastjson 1.2.80


3、漏洞等级


WebRAY安全服务产品线风险评级:高危


4、修复建议


1. 升级到新版本1.2.83,下载地址:

https://github.com/alibaba/fastjson/releases/tag/1.2.83 (该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。)

2. 可升级到fastjson v2 ,参考地址:

https://github.com/alibaba/fastjson2/releases

3. fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单均不支持autoType。当配置完成后可有效防止反序列化Gadgets类变种攻击。开启方法可参考地址:

https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。



声明:该文观点仅代表作者本人,转载请注明来自看雪