一、背景介绍
近日,阿里巴巴公司修复了其开发的开源Java组件Fastjson的一处反序列化远程代码执行漏洞,攻击者利用此漏洞可在目标服务器上实现任意代码执行。
1.1 漏洞描述
Fastjson是阿里巴巴公司开源的一款JSON解析库/解析器,fastjson.jar是阿里开发的一款专门用于Java开发的包,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。由于具有执行效率高的特点,Fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。尤其很多公司的web项目全是java写的,很多后台应用也是基于java。
1.2 漏洞等级
高危
二、修复建议
2.1 受影响版本
Fastjson<=1.2.80
2.2 修复建议
2.2.1 目前阿里巴巴公司已发布Fastjson 1.2.83版本修复此漏洞,可升级更新。下载地址:https://github.com/alibaba/Fastjson/releases/tag/1.2.83。
2.2.2 可经兼容性测试后升级至Fastjson v2版本。下载地址:https://github.com/alibaba/fastjson2/releases。
2.2.3 如暂时不能升级的用户可参考临时缓解措施:在Fastjson 1.2.68版本及之后的版本可通过开启SafeMode配置来关闭Auto Type功能,防范反序列化攻击。需要注意评估关闭Auto Type功能对业务的影响。