网络安全
当前位置: 首页>> 网络安全>> 正文
关于Fastjson反序列化漏洞的预警提示
陆晔 发布日期:2022-06-06

一、漏洞详情

Fastjson是阿里巴巴开源的Java对象和JSON格式字符串的快速转换的工具库。可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

近日,Fastjson官方发布安全公告,修复了一处反序列化漏洞,攻击者在特定条件下可绕过默认autoType关闭限制,利用该漏洞攻击远程服务器,风险较大。

建议受影响用户做好预防工作,以免遭受黑客攻击。

二、影响范围

Fastjson <= 1.2.80

三、修复建议

官方修复建议:

1.可升级到Fastjson v2 ,下载地址:https://github.com/alibaba/fastjson2/releases

2.升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83 。该版本涉及autotype行为变更,在某些场景会出现不兼容的情况。

3.配置safeMode,Fastjson在1.2.68及之后的版本中引入了safeMode,开启safeMode配置后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击。(注意:关闭autoType请评估对业务的影响。)

技术支持:信息化建设管理处

校内备案号:JW备170019

地址:江苏省无锡市蠡湖大道1800号

邮编:214122

联系电话:0510-85916979(16979),85912032(82032)(网络报修)

服务邮箱:netser@jiangnan.edu.cn

Baidu
map