设为首页    |    加入收藏    |    联系我们

网络安全

网络安全
位置: 首页 > 网络安全 > 正文

关于Fastjson反序列化漏洞的安全预警

来源:   时间:2022-05-26   点击数:

据相关监测发现,阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。此次事件影响Fastjson 1.2.80及之前所有版本。

建议各二级单位及时排查梳理受影响情况,在确保安全的前提下修复漏洞、消除隐患,加强安全监测,做好应急处置准备,提高信息系统安全防护能力,严防网络攻击事件。

漏洞详情及安全防范建议如下:

一、漏洞详情

Fastjson由阿里巴巴开发的开源JSON解析库,由JAVA语言编写。Fastjson可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。

Fastjson已使用黑白名单用于防御反序列化漏洞,该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。在默认配置下,当应用或系统使用Fastjson对由用户可控的JSON字符串进行解析时,将可能导致远程代码执行的危害。

二、受影响的版本

特定依赖存在下影响Fastjson1.2.80

三、安全防范建议

目前厂商已发布漏洞修复方案,建议相关用户尽快采取安全措施。

1. 升级到最新版本1.2.83

目前,阿里巴巴公司已发布Fastjson最新版本1.2.83以修复该漏洞,组件升级地址为:https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况。

2. safeMode加固

Fastjson1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType(关闭 autoType需要注意评估业务影响),可杜绝反序列化Gadgets类变种攻击。

3.升级到Fastjson v2

Fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做兼容测试。


邮箱:nic@bdu.edu.cn

地址:河北省保定市七一东路3027号    邮编:071000    E-Mail:nic@bdu.edu.cn    CopyRights © 2021保定学院网络信息管理中心 版权所有

手机版