【漏洞详情】
Fastjson是阿里巴巴的开源JSON解析库,近日,平安云安全中心监控到Fastjson <=1.2.68全版本存在远程代码执行漏洞,此漏洞源于autotype开关的限制可被绕过,并反序列化某些不在黑名单中的类,成功后利用后可获取服务器权限。
【风险评级】
高危
【影响范围】
l Fastjson <= 1.2.68
【修复建议】
目前官方暂未发布修复版本,建议用户依据实际业务评估漏洞影响,可通过如下方案缓解安全风险:
1)关注官方版本更新,及时升级到安全版本;
2)升级到 Fastjson 1.2.68 版本,通过配置以下参数开启 SafeMode 来防护攻击: ParserConfig.getGlobalInstance().setSafeMode(true),此方法会完全禁用 autotype,请操作前注意评估对业务影响;
3)推荐采用 Jackson-databind 或者 Gson 等组件进行替换。
【参考链接】
https://github.com/alibaba/fastjson/releases
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2020年5月28日