网络安全
【FASTJSON反序列化远程代码执行漏洞预警】
Fastjson 1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。
受影响版本:Fastjson ≤ 1.2.80
不受影响版本:Fastjson = 1.2.83
手动检测法:使用以下命令检测当前使用的Fastjson版本:
lsof | grep fastjson
修复建议:
目前官方已在最新版本1.2.83中修复了该漏洞,请受影响的系统在保障稳定的前提下,升级版本进行防护,官方下载链接:https://github.com/alibaba/fastjson/releases
临时防护措施:
在Fastjson 1.2.68及之后的版本中,官方添加了SafeMode 功能,可完全禁用autoType,低于1.2.68版本的用户请升级fastjson至1.2.68及以上版本,通过开启safeMode配置完全禁用autoType(关闭 autoType 前请评估对业务的影响)。三种配置SafeMode的方式如下:
1、在代码中配置:
ParserConfig.getGlobalInstance().setSafeMode(true);
2、加上JVM启动参数:
-Dfastjson.parser.safeMode=true
如果有多个包名前缀,可用逗号隔开。
3、通过properties文件配置:
通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.safeMode=true
参考官方文档:https://github.com/alibaba/fastjson/wiki/fastjson_safemode