尊敬的棉花云用戶，您好！

互聯(lián)網(wǎng)安全運營中心監(jiān)測到， Alibaba Fastjson發(fā)布安全公告，公告提示fastjson 1.2.80及以下存在新安全風險，暫未分配漏洞編號?？蓪е吕@過現(xiàn)有防御反序列化的黑白名單，從而遠程執(zhí)行任意代碼等危害。

為避免您的業(yè)務受影響，棉花云安全建議您及時開展安全自查，如在受影響范圍，請您及時進行更新修復，避免被外部攻擊者入侵。

漏洞詳情

Fastjson是一個Java語言編寫的JSON處理器,由阿里巴巴公司開發(fā)。

據(jù)官方描述，fastjson已使用黑白名單用于防御反序列化漏洞，但該漏洞在特定條件下可繞過默認autoType關閉限制，攻擊遠程服務器，風險影響較大。

風險等級

高風險

漏洞風險

攻擊者利用該漏洞可導致遠程執(zhí)行任意代碼等危害

影響版本

Fastjson =< 1.2.80（需要特定依賴存在）

安全版本

Fastjson >= 1.2.83

修復建議

官方已發(fā)布漏洞補丁及修復版本，請評估業(yè)務是否受影響后，參考官方升級說明，酌情升級至安全版本，或升級到fastjson v2（不完全兼容1.x）

參考 https://github.com/alibaba/fastjson/wiki/security_update_20220523

臨時緩解措施：

safeMode加固：

fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，無論白名單和黑名單，都不支持autoType，可杜絕反序列化Gadgets類變種攻擊（關閉autoType注意評估對業(yè)務的影響）

開啟方法：

參考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode

【備注】：建議您在升級前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外

漏洞參考

https://github.com/alibaba/fastjson/wiki/security_update_20220523

棉花云