近日,蚂蚁集团监测到开源的java开发组件fastjson存在远程代码执行漏洞。攻击者利用上述漏洞可远程执行任意代码。目前官方已发布安全版本,建议受影响单位和用户立即升级至安全版本。
【漏洞预警】fastjson远程代码执行漏洞
危害等级:高
影响产品:fastjson fastjson <=1.2.80
漏洞描述:
fastjson是一款开源json解析库,它可以解析json格式的字符串,支持将java bean序列化为json字符串,也可以从json字符串反序列化到javabean。
fastjson存在远程代码执行漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autotype关闭限制,从而反序列化有安全风险的类。 在特定条件下这可能导致远程代码执行。
凯发app官方网站的解决方案:
1.升级到最新版本1.2.83
该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到 寻求帮助。
2.safemode加固
fastjson在1.2.68及之后的版本中引入了safemode,配置safemode后,无论白名单和黑名单,都不支持autotype,可杜绝反序列化gadgets类变种攻击(关闭autotype注意评估对业务的影响)
2.1 开启方法
参考
2.2 使用1.2.83之后的版本是否需要使用safemode
1.2.83修复了此次发现的漏洞,开启safemode是完全关闭autotype功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
3.升级到fastjson v2
fastjson v2地址:。fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。升级遇到问题,可以在 寻求帮助。
补丁获取链接:
支付宝开放平台
2022年5月27日
