再這樣，真的要放棄fastjson了

【安全通告】Fastjson <=1.2.68全版本遠程代碼執行漏洞通告

尊敬的騰訊云用戶，您好！

近日，騰訊云安全運營中心監測到，Fastjson <=1.2.68版本存在遠程代碼執行漏洞，漏洞被利用可直接獲取服務器權限。

為避免您的業務受影響，騰訊云安全建議您及時開展安全自查，如在受影響范圍，請您及時進行更新修復，避免被外部攻擊者入侵。

漏洞詳情

Fastjson是阿里巴巴的開源JSON解析庫，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean 。

騰訊安全玄武實驗室研究員發現，autotype開關的限制可被繞過，然后鏈式地反序列化某些原本是不能被反序列化的有安全風險的類。

漏洞實際造成的危害與 gadgets 有關，gadgets中使用的類必須不在黑名單中，本漏洞無法繞過黑名單的限制。

風險等級

高風險

漏洞風險

遠程代碼執行，獲取服務器系統權限

影響版本

Fastjson <= 1.2.68

修復建議

截止公告發布，官方暫未發布新版本，您可以采取下述緩解方案進行解決。：

1）關注官方更新公告，待官方更新后，升級版本到 1.2.69 版本；

2）升級到?Fastjson 1.2.68 版本，通過配置以下參數開啟 SafeMode 來防護攻擊：?ParserConfig.getGlobalInstance().setSafeMode(true);（safeMode 會完全禁用 autotype，無視白名單，請注意評估對業務影響）;

3)? 推薦采用 Jackson-databind 或者 Gson 等組件進行替換。

【備注】：建議您在安裝補丁前做好數據備份工作，避免出現意外

漏洞參考

1）官方更新通告：https://github.com/alibaba/fastjson/releases

2）類似問題參考：https://github.com/FasterXML/jackson-databind/issues/2620#

2020-05-28

總結

以上是生活随笔為你收集整理的[转载] --- Fastjson1.2.68版及以下全版本远程代码执行漏洞通告的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。