风险提示:Fastjson 反序列化漏洞,火绒安全发布检测工具
-
作者:火绒安全
-
发布时间:2022-05-24
-
阅读量:2386
漏洞基础信息
漏洞编号 |
无 |
漏洞等级 |
高危 |
漏洞类型 |
远程代码执行 |
影响范围 |
Fastjson≤1.2.80 |
修复版本 |
Fastjson 1.2.83 |
漏洞威胁概况
PoC |
暂无 |
Exp |
暂无 |
在野利用 |
未知 |
漏洞描述
Fastjson是一个开源的Java对象和JSON格式字符串快速转换的工具库。近日,Fastjson官方发布安全公告,修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞,并使用黑名单用于防御反序列化漏洞。该漏洞在特定条件下可绕过默认AutoType关闭限制,攻击远程服务器。
火绒安全已上线Fastjson漏洞本地检测工具,帮助用户排查本地是否有存在漏洞的Java库,请用户尽快自查更新进行防护。火绒安全产品不受此漏洞影响。
检测工具下载地址:https://down5.huorong.cn/tools/fastjsonDetectionTool.zip
修复建议
1、更新到最新版本 1.2.83
https://github.com/alibaba/fastjson/releases/tag/1.2.83
2、升级到Fastjson v2
https://github.com/alibaba/fastjson2/releases
3、开启安全模式
Fastjson在1.2.68及之后的版本中引入了SafeMode,配置SafeMode后,无论白名单和黑名单,都不支持AutoType,可杜绝反序列化Gadgets类变种攻击(关闭AutoType注意评估对业务的影响)
开启方法参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
官方通告:
https://github.com/alibaba/fastjson/wiki/security_update_20220523