注意更新 | Fastjson反序列化漏洞
0x01
漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 未知 未知 未知 未知 |
0x02
漏洞描述
Fastjson是一个Java语言编写的JSON库。
近日,Fastjson Develop Team发布安全公告,修复了一个存在于Fastjson1.2.80 及之前版本中的反序列化漏洞。漏洞编号:暂无,漏洞威胁等级:高危。
该漏洞风险影响较大。建议Fastjson 用户尽快采取安全措施保障系统安全。
Fastjson反序列化漏洞
Fastjson反序列化漏洞 漏洞编号 暂无 漏洞类型 反序列化 漏洞等级 高危 公开状态 未知 在野利用 未知 漏洞描述 Fastjson1.2.80及以下版本存在反序列化漏洞,Fastjson已使用黑白名单用于防御反序列化漏洞,但在特定条件下可绕过默认autoType关闭限制,攻击远程服务器。 |
0x03
漏洞等级
高危
0x04
影响版本
Fastjson <=1.2.80
0x05
修复建议
临时防护方案
开启safeMode加固:
fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)
1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
正式防护方案
厂商已在1.2.83版本修复上述漏洞,用户请尽快更新至安全版本。下载链接:
https://github.com/alibaba/fastjson/releases/tag/1.2.83
Fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。下载链接:
https://github.com/alibaba/fastjson2/releases
与此同时,建议您执行以下的操作,提供您系统整体安全性,减少被黑客攻击的风险。
1、及时更新防火墙策略
2、建议使用360态势感知,加强监控和防护
3、如无必要,禁止主机外连
4、加强等级保护相关合规工作
5、及时更新安全补丁
