首页 » 安全预警 » 正文

【高危安全通告】Fastjson <= 1.2.68远程代码执行漏洞

安全狗监测到有消息称Fastjson<=1.2.68版本中存在一个高危漏洞。攻击者可以绕过autotype限制,但必须利用不在黑名单中的gadgets,实际造成的危害与利用的gadgets有关。

fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围广泛。

官方目前暂未发布新版本,您可以采取下述缓解方案进行解决。

  • 建议升级至 Fastjson1.2.68 版本,在该版本中引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType。

三种方式配置SafeMode

1. 在代码中配置    ParserConfig.getGlobalInstance().setSafeMode(true);

2 .加上JVM启动参数   -Dfastjson.parser.safeMode=true如果有多个包名前缀,用逗号隔开。

3. 通过类路径的fastjson.properties文件配置  fastjson.parser.safeMode=true

配置参考链接https://github.com/alibaba/fastjson/wiki/fastjson_safemode

官方下载https://github.com/alibaba/fastjson/releases

备注 | 建议您在安装补丁前做好数据备份工作,避免出现意外。

发表评论