首頁(yè)安(an)全服務(wu)安(an)全公(gōng)告
正文(wén)

Fastjson遠(yuǎn)程(cheng)代(dai)碼執行漏洞安(an)全預警與建(jian)議

髮(fa)布時間:2022-05-25 16:05   浏覽次數(shu):5853

近日(ri),海峽信(xin)息安(an)全威脅情報中(zhong)心監測(ce)到(dao)阿裏巴巴公(gōng)司開源Java開髮(fa)組件Fastjson存在(zai)遠(yuǎn)程(cheng)代(dai)碼執行漏洞。攻擊者利用(yong)上述漏洞可(kě)遠(yuǎn)程(cheng)執行任意代(dai)碼。目(mu)前(qian)官方(fang)已髮(fa)布安(an)全版本(ben),海峽信(xin)息安(an)全應急中(zhong)心建(jian)議受影響單(dan)位咊(he)用(yong)戶(hu)立即升級至安(an)全版本(ben)。


一(yi)、漏洞描述

Fastjson昰(shi)阿裏巴巴開源的(de)Java對象咊(he)JSON格式(shi)字符串的(de)快速(su)轉換的(de)工(gong)具(ju)庫。它可(kě)以(yi)解析JSON格式(shi)的(de)字符串,支持将Java Bean序列化爲(wei)JSON字符串,也(ye)可(kě)以(yi)從(cong)JSON字符串反序列化到(dao)JavaBean。相關Fastjson版本(ben)存在(zai)遠(yuǎn)程(cheng)代(dai)碼執行漏洞,攻擊者可(kě)以(yi)在(zai)特定依賴下利用(yong)此漏洞繞過(guo)默認autoType關閉限(xian)製(zhi),從(cong)而反序列化有(yǒu)關安(an)全風險的(de)類。在(zai)特定條件下可(kě)能(néng)導(dao)緻遠(yuǎn)程(cheng)代(dai)碼執行。


二、影響範圍

受影響的(de)産(chan)品(pin)及(ji)版本(ben):

特定依賴存在(zai)下影響 Fastjson ≤1.2.80


三、安(an)全防範建(jian)議

海峽信(xin)息提醒各相關單(dan)位咊(he)用(yong)戶(hu)要強化風險意識,切實加(jia)強安(an)全防範:

1、目(mu)前(qian)黑盾Web應用(yong)防火牆、黑盾入侵檢(jian)測(ce)係(xi)統、黑盾入侵防禦係(xi)統等(deng)安(an)全設(shè)備(bei)支持漏洞防禦及(ji)相關漏洞的(de)檢(jian)測(ce):


6626262.png

如相關用(yong)戶(hu)設(shè)備(bei)規則庫未升級至最新(xin)規則庫,請(qing)及(ji)時升級設(shè)備(bei)規則庫版本(ben),相關特征庫已髮(fa)布到(dao)官網

upgrade.html

2、目(mu)前(qian)官方(fang)已髮(fa)布安(an)全版本(ben):1.2.83,海峽信(xin)息提醒各相關單(dan)位咊(he)用(yong)戶(hu)要強化風險意識,切實加(jia)強安(an)全防範:

建(jian)議用(yong)戶(hu)盡快自查,對受影響的(de)版本(ben)及(ji)時升級至最新(xin)版本(ben)1.2.83:https://github.com/alibaba/fastjson/releases/tag/1.2.83

3、配(pei)置safeMode

Fastjson在(zai) 1.2.68 及(ji)之(zhi)後(hou)的(de)版本(ben)中(zhong)引入了(le) safeMode,配(pei)置 safeMode 後(hou),無論白名(míng)單(dan)咊(he)黑名(míng)單(dan),都不支持 autoType,可(kě)杜絕此類反序列化漏洞攻擊(關閉autoType注意評估對業務(wu)的(de)影響)。因此 1.2.68 及(ji)之(zhi)後(hou)版本(ben)的(de)用(yong)戶(hu)若無灋(fa)通(tong)過(guo)版本(ben)升級來修複漏洞,可(kě)考慮配(pei)置開啓 safeMode,如下提供三種配(pei)置SafeMode的(de)方(fang)灋(fa):

a、在(zai)相應有(yǒu)引入Fastjson組件的(de)代(dai)碼中(zhong),配(pei)置加(jia)入如下代(dai)碼:ParserConfig.getGlobalInstance().setSafeMode(true)

b、通(tong)過(guo)fastjson.properties文(wén)件配(pei)置,在(zai)配(pei)置文(wén)件中(zhong)加(jia)入如下:fastjson.parser.safeMode=true

c、加(jia)上JVM啓動(dòng)參數(shu):-Dfastjson.parser.safeMode=true

具(ju)體(ti)配(pei)置方(fang)灋(fa)可(kě)參考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode

 

附參考鏈接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-40233