近日，Fastjson Develop Team 發(fā)布修復了 Fastjson 1.2.80 及之前版本存在的安全風險，該安全風險可能導致反序列化漏洞。

漏洞描述

Fastjson 是阿里巴巴開源的 Java 對象和 JSON 格式字符串的快速轉換的工具庫。

Fastjson 1.2.80 及之前版本使用黑白名單用于防御反序列化漏洞，經研究該防御策略在特定條件下可繞過默認 autoType 關閉限制，攻擊遠程服務器，風險影響較大。建議 Fastjson 用戶盡快采取安全措施保障系統(tǒng)安全。

影響范圍

Fastjson?<=?1.2.80，如已開啟safemode則不受該漏洞影響

修復建議

參考漏洞影響范圍，目前 Fastjson Develop Team 已公布漏洞修復方案，請參考以下修復建議或官方文檔進行修復：https://github.com/alibaba/fastjson/wiki/security_update_20220523

升級到最新版本1.2.83

升級到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83

該版本涉及autotype行為變更，在某些場景會出現不兼容的情況，如遇遇到問題可以到 https://github.com/alibaba/fastjson/issues 尋求幫助。

safeMode 加固

Fastjson 在1.2.68及之后的版本中引入了 safeMode，配置 safeMode 后，無論白名單和黑名單，都不支持 autoType，可杜絕反序列化Gadgets類變種攻擊（關閉 autoType 注意評估對業(yè)務的影響），可參考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 查看開啟方法。

升級到 Fastjson v2

Fastjson v2地址 https://github.com/alibaba/fastjson2/releases

Fastjson 已經開源2.0版本，在2.0版本中，不再為了兼容提供白名單，提升了安全性。Fastjson v2 代碼已經重寫，性能有了很大提升，不完全兼容1.x，升級需要做認真的兼容測試。升級遇到問題，可以在 https://github.com/alibaba/fastjson2/issues 尋求幫助。

來源 | https://unsafe.sh/go-112793.html