fastjson<1.2.69反序列化远程代码执行漏洞提示

近日，阿里云应急响应中心监测到fastjson官方发布新版本，披露一个最新反序列化远程代码执行漏洞，利用漏洞，可绕过autoType限制，直接远程执行任意命令攻击服务器，风险极大。

漏洞描述

fastjson采用黑白名单的方法来防御反序列化漏洞，导致当黑客不断发掘新的反序列化Gadgets类时，在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制，造成远程命令执行漏洞。经研究，该漏洞利用门槛较低，可绕过autoType限制，风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击。

影响版本

fastjson < 1.2.69

fastjson sec版本 < sec10

安全版本

fastjson >= 1.2.69

fastjson sec版本>= sec10

安全建议

注意：较低版本升级至最新版本1.2.69可能会出现兼容性问题，建议升级至特定版本的sec10 bugfix版本

升级至安全版本，参考以下链接：

https://repo1.maven.org/maven2/com/alibaba/fastjson/

fastjson加固

fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可一定程度上缓解反序列化Gadgets类变种攻击，开启方法参考：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

相关链接

https://github.com/alibaba/fastjson/releases/tag/1.2.69

声明：本文来自阿里云先知，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。