预警背景描述
2020 年 5 月 28 日,铱迅安全服务团队监测到 Fastjson <=1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务
器权限。
预警描述
Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
Fastjson 在 1.2.68 及以下版本中均存在远程代码执行漏洞,该漏洞可绕过 autoType 开关的限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现远程代码执行。
漏洞危害
攻击者利用该漏洞可实现远程代码执行,获取服务器权限。 受影响范围 Fastjson <= 1.2.68
修复建议
1、关注官方的更新公告,待官方发布修复程序后,尽快安装修复。
2、由于目前官方暂未发布针对此漏洞的修复版本,受影响用户
可升级到 Fastjson 1.2.68 版本,通过禁用 autoType 来规避风险,另建议将 JDK 升级到最新版本。(Fastjson 1.2.68 版本,官方添加了 SafeMode 功能,可完全禁用 autoType,消除本通告的漏洞风险。)
禁用 autoType 的方法如下:
1) 检测当前使用的 Fastjson 版本:lsof | grep fastjson
2) 升级到 Fastjson 1.2.68 版本
3) 开启 SafeMode :
ParserConfig.getGlobalInstance().setSafeMode(true);
注意:safeMode 会完全禁用 autotype,无视白名单,请注意
评估对业务影响。
官方地址:https://github.com/alibaba/fastjson/releases