【安全通报】Fastjson 远程代码执行漏洞

近日，白帽汇安全研究院监测到，Fastjson < 1.2.69 版本存在远程代码执行漏洞，可直接获取到服务器权限。该漏洞利用门槛低，风险影响范围较大，强烈建议使用了 Fastjson 的用户近期持续关注 Fastjson 官方公告。漏洞成因是Fastjson autotype开关的限制可被绕过，然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。漏洞实际造成的危害与 gadgets 有关，gadgets 中使用的类必须不在黑名单中，本漏洞无法绕过黑名单的限制。

Fastjson 是一个Java 语言编写的高性能功能完善的 JSON 库。 它采用一种“假定有序快速匹配”的算法，把 JSON Parse 的性能提升到极致，是目前 Java 语言中最快的 JSON 库。 Fastjson 接口简单易用，已经被广泛使用在缓存序列化、协议交互、Web 输出、Android 客户端等多种应用场景。

影响范围

Fastjson < 1.2.69

修复

截止公告发布，官方暂未发布新版本，您可以采取下述缓解方案进行解决：

1. 关注官方更新公告，待官方更新后，升级版本到 1.2.69 版本，官方链接：https://github.com/alibaba/fastjson/releases
2. 升级到 Fastjson 1.2.68 版本，通过配置以下参数开启 SafeMode 来防护攻击： ParserConfig.getGlobalInstance().setSafeMode(true);（ safeMode 会完全禁用 autotype，无视白名单，请注意评估对业务影响）
3. 推荐采用 Jackson-databind 或者 Gson 等组件进行替换。 建议您在安装补丁前做好数据备份工作，避免出现意外

参考

[1] https://weixin.shuziguanxing.com/selectDetailsTempateId/462#

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。