【漏洞风险通告】Fastjson反序列化漏洞

Fastjson是阿里巴巴的一个开源的JSON解析库，通常被用于Java Bean和JSON字符串之间进行转换。Fastjson可以操作任何Java对象，即使是一些预先存在的没有源码的对象。

近日，迪普安全研究院团队监测到Fastjson Develop Team发布了Fastjson远程代码执行漏洞的风险通告。虽然也同时发布了修复方案，但是由于该漏洞可能导致攻击远程服务器，所以安全风险影响较大。迪普科技建议Fastjson用户尽快排查并采取安全措施保障系统安全。

高危

Fastjson 1.2.80及之前版本使用黑白名单用于防御反序列化漏洞，经研究该防御策略在特定条件下可绕过默认autoType关闭限制，攻击者可以利用该漏洞攻击远程服务器，从而危害系统安全。

Fastjson ≤ 1.2.80

1、目前Fastjson官方已给出解决方案，可升级到安全版本，最新版本链接如下：

https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇到问题可以到https://github.com/alibaba/fastjson/issues寻求帮助。

2、升级到fastjson v2。

Fastjson已经开源2.0版本，在2.0版本中，不再为了兼容提供白名单，提升了安全性。Fastjson v2代码已经重写，性能有了很大提升，不完全兼容1.x，升级需要做认真的兼容测试。升级方法可参考：https://github.com/alibaba/fastjson2/issues

Fastjson v2下载链接：https://github.com/alibaba/fastjson2/releases。

safeMode加固：Fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可杜绝反序列化Gadgets类变种攻击（关闭autoType注意评估对业务的影响）。

配置方法可参考：https://github.com/alibaba/fastjson/wiki/fastjson_safemode。

迪普科技安全服务团队可协助客户进行现网使用Fastjson的信息资产的梳理，并帮助客户进行版本升级指导以及安全配置等各种安全加固工作。如服务器疑似被入侵，迪普科技可安排安全服务专家针对网络安全入侵事件，为客户提供快速应急响应支撑服务以及专业的安全建设建议，并指导客户完善安全防护措施。

联系我们

迪普科技安全服务团队拥有中国信息安全测评中心、中国网络安全审查技术与认证中心、中国通信企业协会、公安部一所等机构认证资质。作为中国国家信息安全漏洞库一级技术支撑单位，迪普科技安全服务团队依托业内一流的安全服务专家团队和丰富的行业经验积累，以高质量、高标准的理念，为各行业客户提供全面、深度涵盖信息系统规划立项、设计开发、建设实施、运行维护和系统废弃全生命周期的安全服务，帮助客户建立并持续完善网络安全技术和安全管理体系，提升客户信息系统的整体安全防护水平。