标签：Fastjson 1.2 漏洞 代码执行 版本 序列化

据国家网络与信息安全信息通报中心监测发现，开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为，造成服务器权限被窃取、敏感信息泄漏等严重影响。
据统计，此次事件影响Fastjson 1.2.80及之前所有版本。目前， Fastjson最新版本1.2.83已修复该漏洞。 葡萄城提醒广大开发者：请及时排查梳理受影响情况，在确保安全的前提下修复漏洞、消除隐患，提高网络系统安全防护能力，严防网络攻击事件。

漏洞描述

5月23日，Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险，在特定条件下可绕过默认autoType关闭限制，从而反序列化有安全风险的类，攻击者利用该漏洞可实现在目标机器上的远程代码执行。
Fastjson是开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到Java Bean。由于具有执行效率高的特点，Fastjson被众多java软件作为组件集成，广泛存在于java应用的服务端代码中。

漏洞详情

• 漏洞名称: Fastjson反序列化远程代码执行漏洞
• 漏洞编号: 暂无
• 漏洞类型: 远程任意代码执行
• 组件名称: Fastjson
• 影响版本: Fastjson ≤ 1.2.80
• 漏洞等级: 严重

修复建议

1、升级到最新版本1.2.83，下载地址：https://github.com/alibaba/fastjson/releases/tag/1.2.83
由于该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇到问题可以到https://github.com/alibaba/fastjson/issues寻求帮助。

2、safeMode加固
Fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可杜绝反序列化Gadgets类变种攻击。

3、升级到Fastjson v2，下载地址： https://github.com/alibaba/fastjson2/releases
Fastjson已经开源2.0版本，在2.0版本中，不再为了兼容提供白名单，提升了安全性。Fastjson v2代码已经重写，性能有了很大提升，不完全兼容1.x，升级需要做认真的兼容测试。升级遇到问题，可以在https://github.com/alibaba/fastjson2/issues 寻求帮助。

排查建议

• Maven：排查pom.xml，通过搜索Fastjson确定版本号
• 其他项目通过搜索jar文件确定Fastjson版本号

小声补一句，经过测试，我们的Wyn、活字格、SpreadJS 和 GcExcel都并未使用Fastjson JSON库，因此大家无需担心安全问题。

标签：Fastjson,1.2,漏洞,代码执行,版本,序列化
来源： https://www.cnblogs.com/powertoolsteam/p/16305411.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。