据国家网络和信息安全信息中心监测,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务器请求伪造等攻击,造成服务器权限被盗、敏感信息泄露等严重影响。据统计,此次事件影响了Fastjson1.2.80及之前的所有版本。目前Fastjson最新1.2.83版本已修复该漏洞。葡萄城提醒开发者:请及时排查整理受影响情况,在确保安全的前提下修复漏洞、消除隐患,提升网络系统安全防护能力,严防网络攻击。漏洞描述5月23日,Fastjson官方宣布1.2.80及以下版本存在新的反序列化风险。在某些情况下,可以绕过默认的autoType关闭限制,从而反序列化具有安全风险的类。攻击者利用该漏洞在目标机器上实现远程代码执行。Fastjson是一个开源的JSON解析库,可以解析JSON格式的字符串,支持JavaBeans序列化为JSON字符串,以及JSON字符串反序列化为JavaBeans。由于执行效率高,Fastjson被许多java软件作为组件集成,广泛存在于java应用的服务器代码中。漏洞详情?漏洞名称:Fastjson反序列化远程执行代码漏洞?漏洞编号:无?漏洞类型:远程任意代码执行?组件名称:Fastjson?影响版本:Fastjson≤1.2.80?漏洞级别:严重修复建议1,升级至最新版本1.2.83,下载地址:https://github.com/alibaba/fa...由于该版本涉及autotype行为的改变,在某些场景下可能会出现不兼容的情况,如果遇到问题,可以去https://github.com/alibaba/fa...寻求帮助。2、SafeMode加固Fastjson在1.2.68及之后的版本引入了safeMode。配置safeMode后,无论白名单还是黑名单,都不支持autoType,可以防止反序列化Gadgets变体攻击。3、升级到Fastjsonv2,下载地址:https://github.com/alibaba/fa...Fastjson已经开源2.0版本。2.0版本为了兼容没有提供白名单,提高了安全性。重写了Fastjsonv2的代码,性能有了很大的提升。不完全兼容1.x,升级需要仔细测试兼容性。如果升级遇到问题,可以在https://github.com/alibaba/fa寻求帮助...排查建议?Maven:检查pom.xml,通过搜索Fastjson确定版本号?其他项目确定Fastjson的版本号通过jar文件库查询,不用担心安全问题。
