400电话
在线咨询
微信咨询
咨询时间: 9:30-18:30
400-998-3555

风险提示:Fastjson 反序列化漏洞,火绒安全发布检测工具

  • 作者:火绒安全

  • 发布时间:2022-05-24

  • 阅读量:2386

 漏洞基础信息

 

漏洞编号

漏洞等级

高危

漏洞类型

远程代码执行

影响范围

Fastjson≤1.2.80

修复版本

Fastjson 1.2.83

 

漏洞威胁概况

 

PoC

暂无

Exp

暂无

在野利用

未知

 

漏洞描述

 

Fastjson是一个开源的Java对象和JSON格式字符串快速转换的工具库。近日,Fastjson官方发布安全公告,修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞,并使用黑名单用于防御反序列化漏洞。该漏洞在特定条件下可绕过默认AutoType关闭限制,攻击远程服务器。

 

火绒安全已上线Fastjson漏洞本地检测工具,帮助用户排查本地是否有存在漏洞的Java库,请用户尽快自查更新进行防护。火绒安全产品不受此漏洞影响。

 

检测工具下载地址:https://down5.huorong.cn/tools/fastjsonDetectionTool.zip

 

修复建议

 

1、更新到最新版本 1.2.83

https://github.com/alibaba/fastjson/releases/tag/1.2.83

 

2、升级到Fastjson v2

https://github.com/alibaba/fastjson2/releases

 

3、开启安全模式

Fastjson在1.2.68及之后的版本中引入了SafeMode,配置SafeMode后,无论白名单和黑名单,都不支持AutoType,可杜绝反序列化Gadgets类变种攻击(关闭AutoType注意评估对业务的影响)

 

开启方法参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode

 

 

官方通告:

https://github.com/alibaba/fastjson/wiki/security_update_20220523

 

 

安全无忧,一键开启

全面提升您的系统防护