2022年第6期

【预警类型】高危预警

【预警内容】Fastjson 反序列化远程代码执行漏洞

一、漏洞概述：

        Fastjson是一个开源的高性能JSON解析处理库，在国内广泛使用。5 月 23 日，Fastjson 官方发布安全公告，称修复了一个新的反序列化漏洞：

        Fastjson 防御基于黑白名单的反序列化漏洞，这些防御机制在 Fastjson 1.2.80 及更早版本中可以绕过。因此，在默认配置下，当应用或系统使用 Fastjson 解析用户可控的 JSON 字符串时，可能会对远程代码执行造成危害。

二、影响范围：

        Fastjson ≤ 1.2.80 版本。

三、解决方案或建议：

        1. 升级到最新版本 1.2.83https://github.com/alibaba/fastjson/releases/tag/1.2.83
此版本涉及自动类型行为的更改。在某些情况下，会出现不兼容的情况。如有问题，可以前往https://github.com/alibaba/fastjson/issues寻求帮助。

        2. safeMode 加固
fastjson 在 1.2.68 及更高版本中引入了 safeMode。配置为safeMode后，无论白名单还是黑名单都不支持autoType，可以防止反序列化Gadgets变种攻击（关闭autoType，注意评估对业务的影响）

开启方式: 参考https://github.com /alibaba/fastjson/wiki…n_safemode

开启safeMode是为了彻底关闭autoType功能，避免类似问题再次发生。这可能存在兼容性问题。请充分评估对业务的影响并开放。

        3. 升级到fastjson v2
        fastjson v2地址https://github.com/alibaba/fastjson2/releases

        fastjson已经开源2.0版本。在 2.0 版本中，为了兼容性不再提供白名单，从而提高了安全性。fastjson v2 代码已经改写，性能有了很大提升。它与 1.x 不完全兼容。升级需要严格的兼容性测试。升级有问题，可以参考https://github.com/alibaba/fastjson2/issues