Fastjson再曝反序列化漏洞，網(wǎng)友：Bugson又來了！

近日，F(xiàn)astjson Develop Team 發(fā)布修復(fù)了 Fastjson 1.2.80 及之前版本存在的安全風(fēng)險(xiǎn)，該安全風(fēng)險(xiǎn)可能導(dǎo)致反序列化漏洞。

漏洞描述

Fastjson 是阿里巴巴開源的 Java 對象和 JSON 格式字符串的快速轉(zhuǎn)換的工具庫。

Fastjson 1.2.80 及之前版本使用黑白名單用于防御反序列化漏洞，經(jīng)研究該防御策略在特定條件下可繞過默認(rèn) autoType 關(guān)閉限制，攻擊遠(yuǎn)程服務(wù)器，風(fēng)險(xiǎn)影響較大。建議 Fastjson 用戶盡快采取安全措施保障系統(tǒng)安全。

影響范圍

Fastjson?<=?1.2.80，如已開啟safemode則不受該漏洞影響

修復(fù)建議

參考漏洞影響范圍，目前 Fastjson Develop Team 已公布漏洞修復(fù)方案，請參考以下修復(fù)建議或官方文檔進(jìn)行修復(fù)：https://github.com/alibaba/fastjson/wiki/security_update_20220523

升級到最新版本1.2.83

升級到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83

該版本涉及autotype行為變更，在某些場景會出現(xiàn)不兼容的情況，如遇遇到問題可以到 https://github.com/alibaba/fastjson/issues 尋求幫助。

safeMode 加固

Fastjson 在1.2.68及之后的版本中引入了 safeMode，配置 safeMode 后，無論白名單和黑名單，都不支持 autoType，可杜絕反序列化Gadgets類變種攻擊（關(guān)閉 autoType 注意評估對業(yè)務(wù)的影響），可參考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 查看開啟方法。

升級到 Fastjson v2

Fastjson v2地址 https://github.com/alibaba/fastjson2/releases

Fastjson 已經(jīng)開源2.0版本，在2.0版本中，不再為了兼容提供白名單，提升了安全性。Fastjson v2 代碼已經(jīng)重寫，性能有了很大提升，不完全兼容1.x，升級需要做認(rèn)真的兼容測試。升級遇到問題，可以在 https://github.com/alibaba/fastjson2/issues 尋求幫助。

來源 | https://unsafe.sh/go-112793.html