一、概要

近日，華為云關(guān)注到fastjson爆出存在多個(gè)新的Gadgets（ shiro-core、ignite-jta 、aries.transaction.jms、caucho-quercus）可造成反序列遠(yuǎn)程代碼執(zhí)行。3月22日f(shuō)astjson官方Git發(fā)布1.2.67新版本，當(dāng)中更新了autoType安全黑名單，由于黑名單的補(bǔ)充具有滯后性，建議使用fastjson的用戶優(yōu)先使用關(guān)閉autoType（1.2.25版本開(kāi)始默認(rèn)關(guān)閉autoType）的措施來(lái)規(guī)避此類攻擊。

華為云提醒使用fastjson的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://github.com/alibaba/fastjson/releases/tag/1.2.67

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

fastjson <= 1.2.67

四、漏洞處置

漏洞的利用前提是開(kāi)啟了autoType功能（在1.2.5x版本以上autoType默認(rèn)是關(guān)閉狀態(tài)），若用戶開(kāi)啟了autoType功能，可通過(guò)關(guān)閉該功能進(jìn)行臨時(shí)規(guī)避，具體操作可參考以下兩種方法：

1、 在項(xiàng)目源碼中找到以下行代碼并將其刪除。

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

2、 在JVM中啟動(dòng)項(xiàng)目時(shí)，命令行中不添加autoType參數(shù)。

-Dfastjson.parser.autoTypeSupport=true

3月22日，官方已發(fā)布最新1.2.67版本更新了autoType安全黑名單。

1.2.67版本下載地址：https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.67/

目前，華為云WAF已具備對(duì)該漏洞攻擊的防御能力，華為云WAF用戶將Web基礎(chǔ)防護(hù)的狀態(tài)設(shè)置為“攔截”模式即可，具體方法請(qǐng)參見(jiàn) 配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。