企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    安全通告

    近日，奇安信CERT监测到Fastjson远程代码执行漏洞，在Fastjson1.2.80及以下版本中存在反序列化漏洞，攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制，从而反序列化有安全风险的类。在特定条件下这可能导致远程代码执行。鉴于该漏洞影响范围极大，建议客户尽快做好自查及防护。

    威胁评估

    处置建议

    1、版本升级

    目前Fastjson已发布修复版本，用户可升级至最新版本Fastjson1.2.83：https://github.com/alibaba/Fastjson/releases/tag/1.2.83

    Fastjson2的AutoType没有内置白名单，必须显式打开才能使用。故用户可以升级至Fastjsonv2版本：https://github.com/alibaba/Fastjson2/releases

    2、缓解措施

    在Fastjson1.2.68版本及之后的版本可通过开启safeMode功能来关闭autoType功能从而杜绝反序列化Gadgets类变种攻击。

    开启方法请参见：https://github.com/alibaba/Fastjson/wiki/Fastjson_safemode

    需要注意的是开启该功能后，将不支持autoType，可能会对业务产生影响。

    参考资料

    [1]https://github.com/alibaba/Fastjson/wiki/security_update_20220523

    [2]https://github.com/alibaba/fastjson2/releases

    [3]https://github.com/alibaba/fastjson/releases/tag/1.2.83

    时间线

    2022年5月23日，奇安信CERT发布安全风险通告。

    到奇安信NOX-安全监测平台查询更多漏洞详情