據國家網絡與信息安全信息通報中心監測發現,開源Java開發組件Fastjson存在反序列化遠程代碼執行漏洞。攻擊者可利用上述漏洞實施任意文件寫入、服務端請求僞造等攻擊行爲,造成服務器權限被竊取、敏感信息泄漏等嚴重影響。
據統計,此次事件影響Fastjson 1.2.80及之前所有版本。目前, Fastjson最新版本1.2.83已修復該漏洞。 葡萄城提醒廣大開發者:請及時排查梳理受影響情況,在確保安全的前提下修復漏洞、消除隱患,提高網絡系統安全防護能力,嚴防網絡攻擊事件。
漏洞描述
5月23日,Fastjson官方發佈公告稱在1.2.80及以下版本中存在新的反序列化風險,在特定條件下可繞過默認autoType關閉限制,從而反序列化有安全風險的類,攻擊者利用該漏洞可實現在目標機器上的遠程代碼執行。
Fastjson是開源JSON解析庫,它可以解析JSON格式的字符串,支持將Java Bean序列化爲JSON字符串,也可以從JSON字符串反序列化到Java Bean。由於具有執行效率高的特點,Fastjson被衆多java軟件作爲組件集成,廣泛存在於java應用的服務端代碼中。
漏洞詳情
• 漏洞名稱: Fastjson反序列化遠程代碼執行漏洞
• 漏洞編號: 暫無
• 漏洞類型: 遠程任意代碼執行
• 組件名稱: Fastjson
• 影響版本: Fastjson ≤ 1.2.80
• 漏洞等級: 嚴重
修復建議
1、升級到最新版本1.2.83,下載地址:https://github.com/alibaba/fastjson/releases/tag/1.2.83
由於該版本涉及autotype行爲變更,在某些場景會出現不兼容的情況,如遇到問題可以到https://github.com/alibaba/fastjson/issues尋求幫助。
2、safeMode加固
Fastjson在1.2.68及之後的版本中引入了safeMode,配置safeMode後,無論白名單和黑名單,都不支持autoType,可杜絕反序列化Gadgets類變種攻擊。
3、升級到Fastjson v2,下載地址: https://github.com/alibaba/fastjson2/releases
Fastjson已經開源2.0版本,在2.0版本中,不再爲了兼容提供白名單,提升了安全性。Fastjson v2代碼已經重寫,性能有了很大提升,不完全兼容1.x,升級需要做認真的兼容測試。升級遇到問題,可以在https://github.com/alibaba/fastjson2/issues 尋求幫助。
排查建議
• Maven:排查pom.xml,通過搜索Fastjson確定版本號
• 其他項目通過搜索jar文件確定Fastjson版本號
小聲補一句,經過測試,我們的Wyn、活字格、SpreadJS 和 GcExcel都並未使用Fastjson JSON庫,因此大家無需擔心安全問題。