昨天我們報導了fastjson 補曝出存在高危遠程代碼執(zhí)行漏洞，今天 fastjson 官方發(fā)布了安全公告：

https://github.com/alibaba/fastjson/wiki/security_update_20200601

以下為完整公告引用：

安全公告20200601

近日，阿里云應急響應中心監(jiān)測到fastjson爆發(fā)新的反序列化遠程代碼執(zhí)行漏洞，黑客利用漏洞，可繞過autoType限制，直接遠程執(zhí)行任意命令攻擊服務器，風險極大。

漏洞描述

fastjson采用黑白名單的方法來防御反序列化漏洞，導致當黑客不斷發(fā)掘新的反序列化Gadgets類時，在autoType關(guān)閉的情況下仍然可能可以繞過黑白名單防御機制，造成遠程命令執(zhí)行漏洞。經(jīng)研究，該漏洞利用門檻較低，可繞過autoType限制，風險影響較大。阿里云應急響應中心提醒fastjson用戶盡快采取安全措施阻止漏洞攻擊。

影響版本

• fastjson <=1.2.68

• fastjson sec版本 <= sec9

• android版本不受此漏洞影響

升級方案

升級到最新版本1.2.69或者更新的1.2.70版本。

• 1.2.69https://github.com/alibaba/fastjson/releases/tag/1.2.69

• 1.2.70https://github.com/alibaba/fastjson/releases/tag/1.2.70

如果遇到兼容問題，原地升級sec10版本。

• 1.1.15~1.1.31 ->1.1.31.sec10

• 1.1.32~1.1.33 ->1.1.33.sec10

• 1.1.34 ->1.1.34.sec10

• 1.1.35~1.1.46 ->1.1.46.sec10

• 1.2.0~1.2.2 ->1.2.2.sec10因為1.2.3之后的版本Map是沒有排序輸出的，如果不關(guān)注這個兼容問題，升級到1.2.70

• 1.2.3~1.2.7 ->1.2.7.sec10因為1.2.7使用最多特別提供，也可以直接使用1.2.8.sec10

• 1.2.8 ->1.2.8.sec10

• 1.2.9~1.2.29 ->1.2.29.sec10

• 1.2.30~1.2.48 ->1.2.48.sec10

• 1.2.49~1.2.68 ->1.2.69或1.2.70中間有很多sec10小版本，建議直接升級到1.2.69或1.2.70，如果遇到兼容再考慮sec10版本

如果還遇到其他兼容問題，這里有更多的sec10版本https://repo1.maven.org/maven2/com/alibaba/fastjson/

fastjson加固

fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，無論白名單和黑名單，都不支持autoType，可一定程度上緩解反序列化Gadgets類變種攻擊（關(guān)閉autoType注意評估對業(yè)務的影響）

• 開啟方法參考：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

如有需要修改本注腳,請聯(lián)系阿里巴巴，

? Alibaba Fastjson Develop Team

注明: 版權(quán)所有阿里巴巴,請注明版權(quán)所有者

If you need to amend this footnote, please contact Alibaba.

? Alibaba Fastjson Develop Team

Note: Copyright Alibaba, please indicate the copyright owner

總結(jié)

以上是生活随笔為你收集整理的Java 库 fastjson 发布关于“反序列化远程代码执行漏洞”安全公告的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。