产品动态 > 正文

漏洞预警 | Fastjson反序列化高危漏洞处置公告

2022-05-24

5月23日,网宿安全团队监测到,阿里巴巴的开源JSON解析类库Fastjson存在高危漏洞。利用该漏洞,攻击者可以在特定条件下绕过默认autoType关闭限制,从而反序列化有安全风险的类。该漏洞允许远程攻击者在目标机器上执行任意代码。

由于执行效率高,Fastjson应用范围广泛,建议相关用户尽快修复漏洞

媒体聚焦|网宿携手新疆喀什教育局,推动民族地区走出智慧教育新路

网宿安全支持该漏洞防护

经紧急排查,网宿云WAF策略已支持对该漏洞利用攻击的有效防护。同时,网宿WAF的误报与漏报感知模型能够捕获攻击变种并告警,实时关注漏洞防护情况,确保防护持续有效。建议您排查业务系统是否受此漏洞影响,并采取修复措施。

如未接入网宿云WAF,可联系您的商务经理,或扫描二维码,免费开通试用。

↓↓识别二维码,免费接入网宿云WAF↓↓
媒体聚焦|网宿携手新疆喀什教育局,推动民族地区走出智慧教育新路

漏洞详情

漏洞编号:CNVD-2022-40233

漏洞影响:远程任意代码执行

影响版本:Fastjson ≤ 1.2.80

安全版本:Fastjson 1.2.83

威胁等级:高危

官方修复建议

升级到最新版本1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况。参考链接:
https://github.com/alibaba/fastjson/releases/tag/1.2.83

safeMode加固

Fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。参考链接:
https://github.com/alibaba/fastjson2/releases

升级到Fastjson v2

Fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。参考链接:
https://github.com/alibaba/fastjson2/releases

本文内容的版权持有者为网宿科技股份有限公司(“网宿科技”),未经许可,不得转载。