首页安全服务安全公告
正文

Fastjson远程代码执行漏洞安全预警与建议

发布时间:2022-05-25 16:05   浏览次数:4915

近日,海峡信息安全威胁情报中心监测到阿里巴巴公司开源Java开发组件Fastjson存在远程代码执行漏洞。攻击者利用上述漏洞可远程执行任意代码。目前官方已发布安全版本,海峡信息安全应急中心建议受影响单位和用户立即升级至安全版本。


一、漏洞描述

Fastjson是阿里巴巴开源的Java对象和JSON格式字符串的快速转换的工具库。它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。相关Fastjson版本存在远程代码执行漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化有关安全风险的类。在特定条件下可能导致远程代码执行。


二、影响范围

受影响的产品及版本:

特定依赖存在下影响 Fastjson ≤1.2.80


三、安全防范建议

海峡信息提醒各相关单位和用户要强化风险意识,切实加强安全防范:

1、目前黑盾Web应用防火墙、黑盾入侵检测系统、黑盾入侵防御系统等安全设备支持漏洞防御及相关漏洞的检测:


6626262.png

如相关用户设备规则库未升级至最新规则库,请及时升级设备规则库版本,相关特征库已发布到官网

http://www.si.net.cn/Technical/upgrade.html

2、目前官方已发布安全版本:1.2.83,海峡信息提醒各相关单位和用户要强化风险意识,切实加强安全防范:

建议用户尽快自查,对受影响的版本及时升级至最新版本1.2.83:https://github.com/alibaba/fastjson/releases/tag/1.2.83

3、配置safeMode

Fastjson在 1.2.68 及之后的版本中引入了 safeMode,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType,可杜绝此类反序列化漏洞攻击(关闭autoType注意评估对业务的影响)。因此 1.2.68 及之后版本的用户若无法通过版本升级来修复漏洞,可考虑配置开启 safeMode,如下提供三种配置SafeMode的方法:

a、在相应有引入Fastjson组件的代码中,配置加入如下代码:ParserConfig.getGlobalInstance().setSafeMode(true)

b、通过fastjson.properties文件配置,在配置文件中加入如下:fastjson.parser.safeMode=true

c、加上JVM启动参数:-Dfastjson.parser.safeMode=true

具体配置方法可参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode

 

附参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-40233

福建省海峡信息技术有限公司 版权所有  联系: hxzhb@heidun.net 闽ICP备06011901号 © 1999-2022 Fujian Strait Information Corporation. All Rights Reserved.

返回顶部