紧急修复，阿里巴巴FastJson再爆高危安全漏洞

89竹林

撸主最近收到了腾讯云的安全推送，吓得虎躯一震，特此通知一下各位小伙伴。

+ v' {; `6 L0 Z, f  z4 O+ G

尊敬的腾讯云用户，您好！近日，腾讯云安全运营中心监测到，Fastjson <=1.2.68版本存在远程代码执行漏洞，漏洞被利用可直接获取服务器权限。

$ g. o' u6 i8 ]% }6 |  ~

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean 。

: w3 q) t, O" q: r* c# f

腾讯安全玄武实验室研究员发现，autotype开关的限制可被绕过，然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。漏洞实际造成的危害与 gadgets 有关，gadgets中使用的类必须不在黑名单中，本漏洞无法绕过黑名单的限制。

7 H6 s* z9 K( w8 c. a, h- @

风险等级高风险漏洞风险远程代码执行，获取服务器系统权限影响版本Fastjson <= 1.2.68

修复建议

截止公告发布，官方暂未发布新版本，您可以采取下述缓解方案进行解决。1）关注官方更新公告，待官方更新后，升级版本到 1.2.69 版本；2）升级到 Fastjson 1.2.68 版本，通过配置以下参数开启 SafeMode 来防护攻击：

( p/ F7 Q4 z$ |& d/ h5 i

ParserConfig.getGlobalInstance().setSafeMode(true);（safeMode 会完全禁用 autotype，无视白名单，请注意评估对业务影响）;3) 推荐采用 Jackson-databind 或者 Gson 等组件进行替换。

【备注】：建议您在安装补丁前做好数据备份工作，避免出现意外

: Y# i1 R% Y, [# X; h

漏洞参考

1）官方更新通告：

https://github.com/alibaba/fastjson/releases

* g' f4 z3 X2 K' \

2）类似问题参考：https://github.com/FasterXML/jackson-databind/issues/2620#