Fastjson <=1.2.80 反序列化遠程代碼執(zhí)行漏洞預警

2022-05-23

一、概要

近日，華為云關(guān)注到Fastjson <= 1.2.80的版本中存在新的Gadgets可造成反序列化遠程代碼執(zhí)行漏洞，在特定條件下可繞過默認autoType關(guān)閉限制，實現(xiàn)反序列化遠程代碼執(zhí)行，進而攻擊目標服務器，風險較高。

華為云提醒使用fastjson的用戶盡快安排自檢并做好安全加固。

參考鏈接：https://github.com/alibaba/fastjson/wiki/security_update_20220523

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

受影響版本：

Fastjson ＜= 1.2.80

安全版本：

Fastjson 1.2.83

四、漏洞處置

漏洞的利用前提是開啟了autoType功能，若用戶使用到了受影響版本且開啟了autotype，則受影響。 目前官方已在最新版本中更新了autotype安全黑名單修復了該漏洞，請受影響的用戶盡快升級至安全版本。

下載地址：https://github.com/alibaba/fastjson/releases/tag/1.2.83

若無法及時升級，可參考官方公告中提供的規(guī)避措施進行風險規(guī)避：

1. Fastjson 1.2.68版本引入了safeMode配置，用戶需先升級到Fastjson 1.2.68 版本，通過開啟SafeMode 來防護攻擊（開啟safeMode后，無論白名單和黑名單，都不支持autoType，操作前請評估對業(yè)務影響）。開啟方法參考：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

2. 升級到fastjson v2，fastjson已經(jīng)開源2.0版本，在2.0版本中，不再為了兼容提供白名單，提升了安全性。fastjson v2代碼已經(jīng)重寫，性能有了很大提升，不完全兼容1.x，升級需要做認真的兼容測試。

華為云WAF具備對該漏洞防御能力。華為云WAF用戶將“Web基礎防護”狀態(tài)設置為“攔截”模式，具體方法請參見配置Web基礎防護規(guī)則。

注意：修復漏洞前請將資料備份，并進行充分測試。