Fastjson <=1.2.80 反序列化遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警

2022-05-23

一、概要

近日，華為云關(guān)注到Fastjson <= 1.2.80的版本中存在新的Gadgets可造成反序列化遠(yuǎn)程代碼執(zhí)行漏洞，在特定條件下可繞過默認(rèn)autoType關(guān)閉限制，實(shí)現(xiàn)反序列化遠(yuǎn)程代碼執(zhí)行，進(jìn)而攻擊目標(biāo)服務(wù)器，風(fēng)險(xiǎn)較高。

華為云提醒使用fastjson的用戶盡快安排自檢并做好安全加固。

參考鏈接：https://github.com/alibaba/fastjson/wiki/security_update_20220523

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

受影響版本：

Fastjson ＜= 1.2.80

安全版本：

Fastjson 1.2.83

四、漏洞處置

漏洞的利用前提是開啟了autoType功能，若用戶使用到了受影響版本且開啟了autotype，則受影響。 目前官方已在最新版本中更新了autotype安全黑名單修復(fù)了該漏洞，請(qǐng)受影響的用戶盡快升級(jí)至安全版本。

下載地址：https://github.com/alibaba/fastjson/releases/tag/1.2.83

若無法及時(shí)升級(jí)，可參考官方公告中提供的規(guī)避措施進(jìn)行風(fēng)險(xiǎn)規(guī)避：

1. Fastjson 1.2.68版本引入了safeMode配置，用戶需先升級(jí)到Fastjson 1.2.68 版本，通過開啟SafeMode 來防護(hù)攻擊（開啟safeMode后，無論白名單和黑名單，都不支持autoType，操作前請(qǐng)?jiān)u估對(duì)業(yè)務(wù)影響）。開啟方法參考：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

2. 升級(jí)到fastjson v2，fastjson已經(jīng)開源2.0版本，在2.0版本中，不再為了兼容提供白名單，提升了安全性。fastjson v2代碼已經(jīng)重寫，性能有了很大提升，不完全兼容1.x，升級(jí)需要做認(rèn)真的兼容測(cè)試。

華為云WAF具備對(duì)該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請(qǐng)參見配置Web基礎(chǔ)防護(hù)規(guī)則。

注意：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。